SOU 1986:24
Integritetsskyddet i informationssamhället : delbetänkande
Till Statsrådet och chefen för justitiedepartementet
Den 24 maj 1984 bemyndigade regeringen chefen för justitiedepartementet att tillkalla en kommitté med högst nio ledamöter för att utreda frågan om användningen av personnummeri samhället.
Med stöd av detta bemyndigande förordnade departementschefen den 19 september 1984 kammarrättspresidenten Carl Axel Petri till ordförande i kommittén. Samma dag förordnades till ledamöter i kommittén f.d. riksdagsledamöterna Kerstin Ane'r och Lilly Bergander, ombudsmannen Hans-Eric Holmqvist samt riksdagsledamöterna Gunnar Hökmark, Kurt Ove Johansson och Olof Johansson. Departementschefen förordnade den 15 februari 1985 universitetslektorn Yngve Sundblad till ledamot i kommit- tén. Kerstin Ane'r ersattes den 24 oktober 1985 av riksdagsledamoten Birgit Friggebo.
Till experter i kommittén förordnades den 19 september 1984 numera kanslirådet Lars Dahllöf, folkbokföringsdirektören Wolmar Högberg, ra- tionaliseringschefen Torbjörn Nilsson, departementssekreteraren Agneta Norén, byråchefen Nils Rydén, kammarrättsassessorn Kent Sundqvist och numera professorn Nils-Eric Svensson, den 29 oktober 1984 avdel- ningschefen Edmund Rapaport, den 16 november 1984 biträdande direktö- ren Gun Neuman, den 28 december 1984 utredningssekreteraren Birgitta Frejhagen och arkivrådet Claes Gränström samt den 17 juni 1985 departe- mentssekreteraren Birgitta Wittorp. Agneta Norén ersattes den 6 februari 1986 av departementssekreteraren Håkan Färm.
Den 11 oktober 1984 förordnades numera kammarrättsassessorn Christer Abrahamsson och den 28 januari 1985 hovrättsassessorn Anna Mörner till sekreterare i kommittén.
Kommittén har antagit namnet data- och offentlighetskommitte'n (DOK).
Data- och offentlighetskommitte'n har fått tilläggsdirektiv genom beslut av regeringen den 13 december 1984 och kommitténs uppdrag har därefter ytterligare utökats bl. a. genom ett regeringsbeslut den 25 april 1985.
Kommittén får härmed överlämna delbetänkandet Integritetsskyddet i informationssamhället 1. I arbetet med betänkandet har samtliga leda- möter och experter deltagit.
Till betänkandet har fogats en reservation av ledamöterna Birgit Frig- gebo, Gunnar Hökmark och Olof Johansson och särskilda yttranden av ledamoten Gunnar Hökmark och experten Gun Neuman.
Stockholm i februari 1986
Carl Axel Petri
Lilly Bergander Birgit Friggebo Hans-Eric Holmqvist Gunnar Hökmark Kurt Ove Johansson OlofJohansson Yngve Sundblad
/Christer Abrahamsson
Anna Mörner
1. Våra förslag i korthet
Inledning
Data- och offentlighetskommitténs uppdrag omfattar ett stort antal frågor. Vi har därför funnit att det är lämpligt att presentera våra förslag i form av delbetänkanden.
Vi lägger i vårt första delbetänkande fram förslag till ändringar i datala- gen, skadeståndslagen och sekretesslagen. Förslagen gäller bl.a. den en- skildes möjligheter att få rättelse och skadestånd när datorbaserade per- sonregister innehåller uppgifter som är oriktiga eller missvisande. Försla- gen gäller också bl.a. den enskildes skydd när patientuppgifter lämnas till olika personregister inom hälso- och sjukvården.
Rättelse
De föreslagna lagändringarna syftar till att göra det lättare för den som är registrerad i ett personregister som förs med hjälp av ADB att få rättelse när uppgifter som rör honom är felaktiga.
Vi föreslår att det hos varje registeransvarig skall finnas en dataansvarig som allmänheten kan få kontakt med. Den dataansvarige skall hjälpa de registrerade att få rättelse vid fel i registren. Vidare skall han övervaka rättelserutiner. Den dataansvarige skall också se till att allmänheten får behövlig information.
Vi föreslår även att den registeransvariges skyldighet att rätta oriktiga uppgifter skall skärpas till den registrerades förmån. Bl. a. skall en oriktig uppgift alltid rättas i fortsättningen. Någon sådan skyldighet föreligger inte i dag. Dessutom skall uppgift som är missvisande utan att vara oriktig, som hittills, rättas om det är motiverat med hänsyn till den registrerades per- sonliga integritet. Förslaget innebär också att den registeransvarige, i större omfattning än hittills, skall underrätta den eller de som har fått en oriktig uppgift från registret.
Skadestånd
Vi föreslår ett tillägg i skadeståndslagen för att säkerställa möjligheten för den som blir utsatt för databrott att få ersättning för lidande m. m., dvs. ideellt skadestånd.
Personregister med patientuppgifter
På lokal, regional och central nivå inom hälso- och sjukvårdsadministratio- nen förs ett antal ADB—stödda personregister som innehåller patientupp- gifter. För registren gäller bestämmelserna i datalagen till skydd för den enskildes personliga integritet. Registren torde ligga i linje med statsmak- ternas intentioner på hälso- och sjukvårdens område.
Till registren lämnas uppgifter från kliniker och motsvarande. Uppgifts- lämnandet har i flera fall pågått i många år. Den nya sekretesslagen som trädde i kraft år 1981 innebar en spärr mot uppgiftslämnandet till flera av registren. Detta förhållande har förbisetts och utlämnande av uppgifter har fortsatt.
Vår uppgift har inte varit att ta ställning till de olika registrens berätti- gande. Vi skall däremot se till att uppgiftslämnandet blir rättsenligt och att patientuppgifterna får ett bra sekretesskydd i de olika registren.
Vi föreslår därför en reglering som innebär att uppgifter som omfattas av hälso- och sjukvårdssekretess skall få lämnas till socialstyrelsen eller en landstingskommun. Men uppgifterna får lämnas bara om de behövs där för forskning eller statistik inom hälso- och sjukvårdens område och under förutsättning att de blir skyddade av sekretess hos mottagaren. Dessutom bör givetvis patienterna informeras i fortsättningen om uppgiftslämnandet.
Förslaget innebär en åtstramning när det gäller utlämnande av patient- uppgifter för administrativa ändamål i förhållande till vad som sker i dag.
För att uppgifterna skall få registreras i ett personregister krävs i allmän— het, som hittills, att datainspektionen ger tillstånd enligt datalagen. Vidare skall datainspektionen se till att automatisk databehandling inte medför risk för otillbörligt intrång i den personliga integriteten. Datainspektionen kan om det behövs förbjuda ett personregister eller återkalla ett meddelat tillstånd.
2. Författningsförslag
2.1. Förslag till
Lag om ändring i datalagen (1973: 289)
Härigenom föreskrivs att Så datalagen (1973z289)l skall ha följande lydelse.
Nuvarande lydelse
Förekommer anledning till miss- tanke att personuppgift som ingår i personregister är oriktig, skall den registeransvarige utan dröjsmål vid- taga skäliga åtgärder för att utröna uppgiftens riktighet och, om skäl föreligger, rätta den eller utesluta den ur registret.
Har uppgift, som rättas eller uteslutes, lämnats ut till annan än den registrerade, skall den register- ansvarige på begäran av den regist- rerade underrätta mottagaren om rättelsen eller uteslutningen. Före- ligger särskilda skäl, får dock da- tainspektionen befria den register- ansvarige från sådan underrättel- seskyldighet.
' Lagen omtryckt 19821446.
Föreslagen lydelse
Förekommer anledning till miss- tanke att personuppgift som ingår i personregister är oriktig eller miss- visande skall den registeransvarige utan dröjsmål vidta skäliga åtgärder för att utröna uppgiftens riktighet och tjänlighet för sitt ändamål. Oriktig uppgift skall rättas eller uteslutas. Missvisande uppgift skall rättas, ändras eller uteslutas om riskför otillbörligt intrång iper- sonlig integritet föreligger.
Har uppgift, som rättas ändras eller utesluts lämnats ut till annan än den registrerade, skall den regis- teransvarige på begäran av den re-
_gistrerade underrätta mottagaren
om rättelsen, ändringen eller ute- slutningen. Om risk för otillbörligt intrång i personlig integritet före- ligger skall sådan underrättelse all- tid ske.
Nuvarande lydelse
Föreslagen lydelse
Hos den registeransvarige skall finnas en dataansvarig som bistår den registrerade vid misstanke om att personuppgift i personregister är oriktig eller missvisande och som övervakar att rättelse, ändring eller uteslutning enligt första stycket kommer till stånd.
Bestämmelserna i denna para- graf gäller inte register som har överlämnats till arkivmyndighetför förvaring.
23%
Om registrerad tillfogas skada ge- nom att personregister innehåller oriktig uppgift om honom, skall den registeransvarige ersätta skadan. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omstän- digheter av annan än rent ekono- misk betydelse.
Om registrerad tillfogas skada ge— nom att personregister innehåller oriktig eller missvisande uppgift om honom, skall den registeransvarige ersätta skadan. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse.
Denna lag träder i kraft den 1 xxx 198x.
2.2. Förslag till
Lag om ändring i skadeståndslagen (19721207)
Härigenom föreskrivs att 1 kap. 3 & skadeståndslagen (1972z207)l skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
Bestämmelserna i denna lag om skyldighet att ersätta personskada tillämpas också i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten, genom annat ofredande som inne-
' Lagen omtryckt 1975:404.
35
Bestämmelserna i denna lag om skyldighet att ersätta personskada tillämpas också i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten, genom annat ofredande som inne-
Nuvarande lydelse
fattar brott, genom brytande av post- eller telehemlighet, intrång i förvar eller olovlig avlyssning eller genom ärekränkning eller dylik brottslig gärning. Lag (I975:404).
Föreslagen lydelse
fattar brott, genom brytande av post- eller telehemlighet, intrång i förvar eller olovlig avlyssning eller genom ärekränkning eller dylik brottslig gärning, eller genom brott mot datalagen.
Denna lag träder i kraft den 1 xxx 198x.
2.3. Förslag till Lag om ändring i sekretesslagen (1980: 100)
Härigenom föreskrivs att 7 kap. 1 & sekretesslagen (1980: 100)| skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap. 1 %
Sekretess gäller, om inte annat följer av 2 %, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, in- semination, fastställande av könstillhörighet, abort, sterilisering, kastre- ring och åtgärder mot smittsamma sjukdomar, samt i verksamhet som avser omsorger om vissa psykiskt utvecklingsstörda.
Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.
Sekretess enligt första stycket hindrar inte att uppgift lämnas till socialstyrelsen, en landstingskom- mun eller en kommun som inte in- går i en landstingskommun, om uppgiften behövs i sådan särskild verksamhet hos myndigheten som avser forskning eller framställning av statistik inom hälso- och sjuk- vårdens område.
' Lagen omtryckt 1985: 1059.
Nuvarande lydelse Föreslagen lydelse
,,
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år. Utan hinder av första stycket får uppgifter om insemination i vissa fall lämnas till enskild enligt vad som föreskrivs i lagen (1984: 1140) om inse— mination. Lag (l984:ll4l).
Denna lag träderi kraft den 1 xxx 198x.
3 Vårt uppdrag m. rn.
3.1. Kommitténs uppdrag
Data- och offentlighetskommittén (DOK) har fått regeringens uppdrag att utreda användningen av personnummer inom den offentliga och den en- skilda sektorn. Uppdraget innebär bl.a. att vi skall kartlägga den nuvaran- de personnummeranvändningen och belysa de fördelar och nackdelar som är förenade med bruket av personnummer. Vi skall också granska om användningen kan medföra otillbörligt intrång i den enskildes personliga integritet och föreslå lämpliga åtgärder för att avvärja eventuella hot mot den personliga integriteten.
Vårt uppdrag skall ses mot bakgrund av att den utbredda användningen av personnummer underlättar samkörning av olika personregister och kontroll av den enskilde. Många medborgare känner därför oro för att personnumret kan utnyttjas så att det medför otillbörligt intrång i den personliga integriteten. Detta gäller framför allt när personnummer an- vänds i ADB-stödda personregister. Andra människor reagerar mot vad de anser vara en onödig användning av personnummer, t. ex. att man måste uppge personnummer för att kunna använda de månadskort som trafikbo- lagen säljer eller för att få låna en bok från ett bibliotek.
Vi har fogat våra direktiv som bilaga I till betänkandet. Användningen av ADB inom den offentliga sektorn har blivit alltmer utbredd under senare år. Detta har medfört problem vid tillämpningen av bestämmelserna i tryckfrihetsförordningen (TF) om allmänna handlingars offentlighet. Problemen hänger samman med att TF:s bestämmelser är utformade i första hand med tanke på traditionella pappersdokument och inte på ADB-upptagningar.
DOK har mot denna bakgrund fått tilläggsdirektiv. Regeringens uppdrag innebär att vi skall utreda de problem som är förenade med offentlighets- principens tillämpning på ADB-upptagningar.
Vi skall bl. a. undersöka hur TF: s bestämmelser om allmänna handling- ar har fungerat vid tillämpningen på ADB-upptagningar och föreslå de ändringar i bestämmelserna som kan vara befogade. Vidare skall vi särskilt överväga åtgärder för att stärka offentlighetsprincipen när det gäller att ge medborgarna möjligheter till kontroll och insyn i myndigheternas verksam- het.
Vi skall också göra klart var gränsen bör gå mellan myndigheternas skyldighet att lämna ut uppgifter enligt offentlighetsprincipen och möjlig- heten att lämna ut uppgifter i övrigt. I detta sammanhang skall vi överväga frågan om myndigheternas försäljning av uppgifter ur ADB-register, om det är befogat att införa begränsningar i rätten att göra s.k. massutag och om det nuvarande skyddet mot ett icke önskvärt utnyttjande av s.k. faktadatabaser är tillräckligt.
Vidare skall vi när det gäller ADB-register överväga frågor om bl.a. rättelse, skadestånd, sårbarhet och arkivering.
Vi har fogat våra tilläggsdirektiv som bilaga 2 till betänkandet. DOK har också den 25 april 1985 fått regeringens uppdrag att överväga de delar avjournalutredningens betänkande (SOU 1984: 73) Patientjourna- len och de delar av remissvaren över betänkandet som gäller frågor om personlig integritet och sekretess inom hälso- och sjukvården.
Regeringens beslut, en sammanfattning av journalutredningens betän- kande och en sammanställning av remissyttrandena har fogats som bi- laga 3, 4 resp. 5 till betänkandet.
Vidare har vi tagit emot ett stort antal skrivelser och remisser. Dessutom utgår riksdagen från att vi inom ramen för vårt uppdrag skall behandla ett förhållandevis stort antal frågor som har anknytning till inte- gritetsskyddet vid användningen av ADB (jfr. t. ex. KU 1985/8618 och FiU 1985/86: 5 samt rskr. 1985/86: 88).
3.2. Första delbetänkandet m. m.
Med hänsyn till omfattningen av vårt uppdrag har vi valt att redovisa resultatet av vårt arbete i form av delbetänkanden. Det första delbetänkan- det innehåller våra överväganden om rättelse och skadestånd enligt datala- gen. Det innehåller också vår granskning av tillgängligheten av patientupp- gifteri olika ADB-register inom hälso- och sjukvården.
Under andra halvåret 1985 har vi låtit kartlägga användningen av person- nummer inom den offentliga och den enskilda sektorn. Vi har också under senare delen av 1985 och början av 1986 låtit kartlägga myndigheternas försäljning av uppgifter ur sina ADB-register. Så snart materialet är färdig- behandlat avser vi att återkomma till dessa frågor i ett kommande betän- kande.
3.2.1. Rättelse och skadestånd enligt datalagen
Datalagens regler om rättelse och skadestånd vid fel i personregister har enligt vår mening en i stort sett godtagbar utformning. Vi har emellertid kunnat konstatera brister vid tillämpningen av gällande regler. Det har t. ex. många gånger visat sig svårt för den enskilde att snabbt och effektivt få rättelse av ett fel i ett databaserat personregister. Det förefaller också som om en del registeransvariga och även personal som använder databa- serade personuppgifter i sitt arbete har bristfälliga kunskaper om hur datalagen skall tillämpas när det gäller rättelse.
Datainspektionen har på uppdrag av regeringen utarbetat en prome- moria daterad den 15 mars 1985 med allmänna råd om myndigheters tillämpning av rättelseparagrafen i datalagen. Våra förslag bygger i stor utsträckning vidare på datainspektionens rekommendationer.
Vi har fogat datainspektionens promemoria som bilaga 6 till betänkan- det.
3.2.2. Utlämnande av patientuppgifter
DOK har bl.a. i uppdrag att beakta frågor om patienternas integritets- skydd inom hälso- och sjukvården. Vår genomgång visar att rättsläget i dag anses oklart och att tillämpningen enligt vår bedömning i vissa avseenden inte förefaller att stå i överensstämmelse med gällande rätt.
Vi tar här upp frågan om det är förenligt med gällande rätt att företrädare för en sjukvårdsinrättning lämnar ut uppgifter om en patient till personal på regional och central nivå inom hälso- och sjukvårdsadministrationen när mottagarna skall använda uppgifterna i sina ADB-baserade personregister.
Våra iakttagelser har föranlett oss att lägga fram förslag för att de mest akuta Oklarheterna i rättsläget skall kunna avhjälpas. Vi torde få anledning att återkomma till den nu aktuella och andra närliggande frågor i ett senare betänkande. * .
l-t'l Miki". .
* tillhåll—' vi * .ww.
Want-”31513. i” 1.7 .' |..1LHI, i Wilfa-I) lhl.ll-,"1.'l.l-..—l vll' . . * l—ll'qu. .*ll'
ling."! '”.
J "Tlf
rr
ha... ;;...
| n—"ål iluu ||» | n'
| u | -. Intl
' it.
lim *
4. Rättelse av fel i personregister
4.1. Gällande rätt
Datalagen (1973: 289) kom till på förslag av offentlighets- och sekretesslag- stiftningskommittén (OSK) och trädde i kraft den 1 juli 1973. Lagen syftar till att skydda den enskilde mot sådant intrång i den personliga integriteten som kan bli följden av registrering med hjälp av ADB.
Datalagen har fram t. o. m. är 1982 vid flera tillfällen ändrats efter förslag från den under åren 1976-1984 verksamma datalagstiftningskommittén (DALK). De överväganden som har lett fram till nu gällande lagstiftning finns i OSKs betänkande Data och integritet (SOU 1972: 47), prop. 1973: 33. KU 1973: 19, DALKs betänkande Personregister-datorer-integri- tet (SOU 1978: 54), prop. 1978/79: 109, KU 1978/79: 37, DALKs betänkan- den Författningsreglering av SPAR m.m. (Ds Ju 1979: 19) och Tillstånd och tillsyn enligt datalagen (Ds Ju 1981: 15), prop. 1980/81: 62, KU 1980/81: 11, prop. 1981/82: 189 och KU 1981/82: 33.
Enligt 8 & datalagen medför redan misstanken om att en uppgift som ingår i ett personregister är oriktig att den registeransvarige blir skyldig att undersöka saken. När ett fel konstateras skall uppgiften rättas eller uteslu- tas ur registret om det finns skäl för en sådan åtgärd.
Om uppgift som rättas eller utesluts har lämnats ut till annan än den registrerade skall den registeransvarige på begäran av den registrerade underrätta mottagaren om rättelsen eller uteslutningen.
Datalagen ger datainspektionen möjlighet att befria registeransvarig från skyldigheten att underrätta mottagare av felaktig uppgift, om det finns särskilda skäl.
Departementschefen har i samband med datalagens tillkomst gjort en rad förtydliganden angående tillämpningen av 8 & (jfr prop. 1973: 33 s. 132 ff). Dessa är alltjämt gällande rätt. Rättelse eller uteslutning behöver således ske endast om det finns skäl för detta. Avgörande för bedömningen är bl.a. den aktuella uppgiftens betydelse från integritetssynpunkt. Saknar uppgiften sådan betydelse kan rättelse respektive uteslutning underlåtas, även om det finns anledning att misstänka att uppgiften är oriktig. Det har också viss betydelse om den registrerade ursprungligen begärt att uppgif- ten skall rättas eller uteslutas.
När uppgift har hämtats från ett annat register och den registeransvarige inte har formell befogenhet att på egen hand besluta om rättelse i detta register skall han vända sig till den varifrån uppgiften kommer och begära rättelse om uppgiften visar sig vara oriktig. För att den registeransvarige skall kunna ta reda på om en viss personuppgift är riktig är det ofta nödvändigt att han tar kontakt med den registrerade.
Skyldigheten att underrätta mottagare av felaktig uppgift är beroende av att den registrerade begär att underrättelse skall ske. En förutsättning för att han skall kunna begära underrättelse är att han känner till att det har förekommit en felaktig uppgift som har rättats eller uteslutits. Eftersom det
inte föreskrivs någon generell skyldighet för den registeransvarige att upplysa den registrerade om att han över huvud taget förekommer i regist- ret ansåg departementschefen att det inte var motiverat att ställa krav på att den registrerade obligatoriskt skall underrättas om varje rättelse eller uteslutning av personuppgift. I de fall då rättelsen rör en uppgift som är av betydelse från integritetssynpunkt förutsatte departementschefen att den registeransvarige självmant lämnar underrättelse till den registrerade, så att denne får tillfälle att begära att mottagare av den felaktiga uppgiften underrättas.
Ett särskilt skäl för dispens från skyldighet att underrätta mottagare av felaktig uppgift är att en underrättelse kan antas sakna eller vara av ringa betydelse från integritetsskyddssynpunkt. Dispens kan meddelas såväl från fall till fall som mera generellt t. ex. i fråga om ett visst register.
4.2. Bakgrund till gällande rätt
Enligt OSK:s uppfattning (jfr SOU 1972:47 s. 87 f) kunde det befaras att varje felaktighet i personuppgift som ingår i ett personregister medför integritetsintrång. På grund av de möjligheter som datatekniken ger att använda en uppgift i många olika sammanhang och att finna den även efter lång tid ansågs riskerna för att en oriktighet skall vålla skada större än i fråga om manuellt hanterade uppgifter.
Remissinstanserna gjorde smärre invändningar mot OSK:s förslag och påpekade bl. a. att innehållet i ett register ibland bestäms genom avisering från annat håll. Mottagaren av uppgiften ansågs i sådana fall inte kunna svara för att de registrerade sakförhållandena var riktiga utan endast för att de blivit korrekt återgivna från grundhandlingen. Någon ville införa en preskriptionsregel när det gäller tillägg till och ändringar i ett register. Några tyckte att det borde föreligga en högre grad av sannolikhet för att en uppgift är oriktig än vad som föreslagits, innan den registeransvarige skulle åläggas att utesluta den. Flera kritiserade tanken på att den registeransva- rige skulle vara skyldig att lämna meddelande om rättelse eftersom detta ansågs kunna få orimliga konsekvenser. Underrättelseskyldigheten borde i vart fall inskränkas till uppgift av betydelse.
Departementschefen uttalade (jfr prop. 1973: 33 s. 132 ff) att det är av stor betydelse från integritetsskyddssynpunkt att de personuppgifter som finns i ett personregister är riktiga. Han förutsatte också att datainspek- tionen i föreskrifter skulle beakta behovet av att förebygga att felaktiga uppgifter uppkommer.
4.3. Kritik mot gällande ordning
Utformningen av regler och rutiner för rättelse i personregister som förs med hjälp av ADB är av betydelse både för den registrerades intresse av en korrekt behandling i sina relationer till dem som använder sig av uppgifteri registret och för skyddet av den personliga integriteten.
Frågan om hur felaktiga uppgifter i ADB-register skall kunna motverkas och då sådana förekommer effektivt rättas har diskuterats i riksdagen vid upprepade tillfällen. Bl.a. sägs i motion 1982/83:510-511 av Ola Ullsten m.fl. (fp) att datorns fel aldrig får medföra obehag för medborgarna och att detta är ett maximikrav som inte alltid går att uppfylla men ändå bör eftersträvas. Motionärerna vill ha rättelserutiner inbyggda i datorn och i administrativa system kring den samt anser att alla datasystem som skall utmynna i order eller betalningskrav mot allmänheten bör vara försedda med rimlighetskontroller. Motionärerna beskriver bl. a. hur en uppenbart orimlig vattenräkning har hotat att ruinera en gammal människa som inte använt den debiterade vattenmängden i hela sitt liv och hur en obetald räkning som kommit bort under semestertid har lett till att en sjuk männi- ska har blivit liggande i hemmet utan ström.
lmotion 1983/84: 433 av Ulf Adelsohn m.fl. (m) konstateras bl. a. att det ofta varit svårt att få till stånd rättelser i personregistren och att varje register därför bör ha en särskilt utsedd registerförare med ansvar gent- emot den enskilde medborgaren.
I motion 1983/84: 937 av Jan-Erik Wikström m.fl. (fp) framförs förslaget att man skall pröva ett system med "elektronisk replikrätt” som medger att registrerad, utan kostnad, för in rättelser, kompletteringar eller andra kommentarer i registret.
lmotion 1983/84: 1393 av Bengt Kindbom m.fl. (c) föreslås att man höjer servicenivån hos offentliga myndigheter genom att datautskrivna handling- ar förses med uppgifter om handläggare som ansvarar för handlingen.
Ovannämnda motioner behandlades av konstitutionsutskottet hösten 1984 (jfr Ku 1984/85: 7) och ansågs i berörda delar besvarade med hänvis- ning till vårt arbete.
I motion 1984/85: 452 av Ulf Adelsohn m.fl. (m) föreslås en översyn av reglerna för ansvarighet vid förande av dataregister.
lmotion 1984/85: 1493 av Bengt Westerberg m.fl. (fp) uttalar man sig för restriktivitet vad avser samkörningar och anser att det när tillåtelse lämnas skall vara klarlagt vilka rättelserutiner som finns. Motionärerna vill också införa ökade krav på innehållet i registerutdrag enligt 10 & datalagen.
I motion 1984/85: 2717 av Gunnar Hökmark (m) återkommer det tidigare kravet på särskild registerförare (jfr motion 1983/841433).
Nyssnämnda motioner överlämnandes den 21 november 1985 med ytt- rande av konstitutionsutskottet till finansutskottet som behandlade dem samtidigt med regeringens proposition 1984/85:220 om datapolitik (FiU 1985/86: 5 s. 19 f och 72). Med hänvisning till de råd som datainspektionen utfärdat (se även avsnitt 4.4) och det uppdrag som lämnats till DOK ansågs yrkandena tillgodosedda.
4.4. Våra kommentarer till kritiken
Vi har inte bedömt det som meningsfullt att försöka åtstadkomma någon kartläggning av felfrekvensen i personregistren. Vi tror att en sådan under- sökning på flera punkter skulle ge missvisande resultat. Det finns nämligen en risk för att man, utöver vad som redan blivit känt på annat sätt,
huvudsakligen lyckas kartlägga mindre allvarliga fel som endast undan- tagsvis upplevs som integritetskränkande. Det är främst sådana fel som kan avslöjas med hjälp av relativt enkla rutinkontroller.
Erfarenheter från datainspektionen, JO och JK bekräftar att de register- ansvariga inte sällan saknar tillfredsställande rättelserutiner. Det kan vara svårt att snabbt och enkelt få en rättelse till stånd sedan ett fel har upptäckts.
De bristeri rättelserutinerna som har påtalats av så väl datainspektionen som JO måste enligt vår mening beaktas och åtgärdas.
Det är vår uppfattning att så stora ansträngningar som möjligt bör göras för att förhindra att felaktiga och ofullständiga uppgifter över huvud taget registreras. Det är ett intresse både för de registrerade och för de register- ansvariga. Fel i register minskar registrets användbarhet och kostar peng- ar. Stora ansträngningar görs därför säkert för att undvika fel. Mängden av register och registrerade uppgifter gör det dock orealistiskt att tro att man skulle kunna avskaffa alla fel i registren. Utformningen av rättelseregler och rättelserutiner är därför av stor betydelse. Det är samtidigt angeläget att datainspektionen verkar för höjd datakvalitet och ändring av otympliga rutiner som kan leda till felaktiga och missvisande registreringar.
Datainspektionen har på uppdrag av regeringen arbetat fram allmänna råd för myndighet vid tillämpningen av 8 & datalagen (jfr bil. 6). De all- männa råden har spritts i form av en folder under hösten 1985. Våra förslag tar i stor utsträckning fasta på datainspektionens rekommendationer. Vi har kompletterat och förtydligat dessa. På några särskilt grundläggande punkter föreslår vi tillägg i datalagen.
4.5. Allmänt om våra förslag
Våra förslag till åtgärder för att stärka de registrerades ställning i samband med fel i registren riktar sig mot alla registeransvariga. De berör således såväl den offentliga som den privata sektorn och gäller utan begränsning även register som m. h. t. till omfång eller innehåll normalt sett inte kan betraktas som särskilt integritetskänsliga. Avsikten med våra förslag är att tillgodose de registrerades krav på att datalagens regler iakttas. Det finns då ingen anledning att ställa upp undantag. Belastningen för de ansvariga blir beroende av registrens omfång, innehåll och kvalitet. Allt detta kan påverkas av den registeransvarige.
På flera punkter har vi funnit det lämpligt att, liksom hittills, låta datain- spektionen ha relativt fria händer att utforma föreskrifter som passar i det enskilda fallet. Detta är förklaringen till att vi ofta har nöjt oss med mera allmänna uttalanden om vilka föreskrifter som bör övervägas i olika sam- manhang för att motverka problem när det gäller att iaktta rättelsereglerna.
4.6. Vissa begrepp
Innan vi övergår till våra förslag är det viktigt att så klart som möjligt
n »»
försöka definiera vad vi menar med begreppen ”fel”, "oriktig , missvi-
sande”, ”otjänlig”, ”rättelse” och ”ändring”. Vi anser det lämpligt att begränsa begreppet "oriktig" till att avse uppenbara och odiskutabla fel. En ”missvisande" uppgift anser vi vara en uppgift som i det sammanhang den används lätt kan missförstås eller feltolkas. Till detta begrepp hänför vi också uppgift som på grund av förändring efter registreringstillfället kan ge upphov till missförstånd eller feltolkningar. ”Otjänliga” uppgifter är alltid missvisande. Begreppet tolkas ibland mera snävt och avser då en uppgift som inte är relevant tillsammans med övriga uppgifter som före- kommer i ett visst sammanhang. Det är tveksamt om det går att upprätthål- la någon klar gräns mellan sådana uppgifter som är enbart missvisande och sådana som tillika är otjänliga. Något behov av en avgränsning härvidlag finns enligt vår mening bara om man vill använda ett särskilt begrepp i de fall missvisande uppgifter skapas vid samkörningar. I det följande kommer vi inte att skilja på missvisande och otjänliga uppgifter. När vid talar om "felaktig” uppgift avser vi såväl oriktig som missvisande och otjänlig sådan.
I vissa sammanhang är det lämpligt att skilja mellan ”rättelse” och "ändring”. Med rättelse menar vi en åtgärd genom vilken en från början felaktig uppgift helt eller delvis ersätts med en annan eller utgår utan att ersättas. Med ändring menas att en från början riktig uppgift helt eller delvis ersätts eller utgår därför att den har blivit missvisande eller irrele- vant genom att förhållandena har ändrats. I båda begreppen innefattas således uteslutning av uppgift. När vi i mera allmänna ordalag talar om rättelse avses såväl rättelse som ändring. Endast i de fall där det är av särskild betydelse att hålla isär begreppen eller där vi vill vara extra tydliga talas om rättelse respektive ändring.
4.7. En dataansvarig skall hjälpa allmänheten att få rättelse
4.7.1. Vårt förslag
Vi föreslår att en särskild dataansvarig skall finnas hos var och en som är registeransvarig för ett personregister.
Den dataansvarige skall hjälpa allmänheten vid fel i ett personregis- ter, se till att datalagens bestämmelser om rättelse följs, övervaka rättelserutiner samt informera anställda som kommer i kontakt med personregister om datalagens regler, datainspektionens rekommenda- tioner och gällande rättelserutiner.
Skyldigheten att ha en dataansvarig och dennes uppgifter skall regleras i datalagen.
4.7.2. Bakgrund
När datalagen trädde i kraft blev ett helt nytt område lagreglerat. Personre- gistrering med hjälp av automatisk databehandling var också en ganska ny företeelse. Det är naturligt att det tar tid innan bestämmelserna får full genomslagskraft. När det gäller datalagens rättelseregler kan man alltjämt, mer än tio år efter det att bestämmelserna infördes, konstatera en viss
osäkerhet om vad de innebär, både hos personer som hanterar personre- gistren och hos allmänheten. Någon enkel och entydig förklaring till detta har vi inte hittat.
JO har i en brett upplagd undersökning av felaktiga skattekrav (JO 198215 3) funnit en hel del brister vid hanteringen av bl. a. skatteregister. JO ifrågasätter i flera fall om olika handläggare haft den insikt eller vilja som behövs för att förebygga fel eller rätta till sådana. Granskningen tyder också på att fel och brister i ärenden där myndigheter använder ADB inte sällan har berott på försummelser som begåtts av befattningshavare utan självständiga befogenheter. Många problem bottnar också i att man kan för litet om de kringliggande rutiner som faller under ett annat datasystem eller system som fortfarande är manuella.
I samband med att nya personregister inrättas har det ibland visat sig att rättelserutinerna är dåligt genomtänkta och att man saknar resurser för att inom rimlig tid göra något åt felaktigheter. Detta gäller särskilt under den i vissa fall ganska långa inkörningsperioden. Efter kritik mot rättelserutiner- na i ADB-registret för exekutionsväsendet (REX) har datainspektionen i samråd med riksskatteverket arbetat fram utförliga rutiner både för rättel- semetoder och för underrättelser till användare av registren. Datainspek- tionen har också genom förslag i remissvar över journalutredningens be- tänkande Patientjournalen (SOU 1984:73) påverkat utformningen av be- stämmelsen om rättelse i den nya patientjournallagen (1985: 562).
De klagomål som kommer in till datainspektionen ger ett intryck av att det ofta är svårt för den som anser sig utsatt för ett fel att komma i kontakt med rätt person hos den myndighet eller det företag som för personregis- tret. Kritik över detta förekommer också i massmedia. Problemet upp- märksammades vidare av departementschefen i samband med ändringar i datalagen år 1982 (jfr prop. 1981/82: 189 s. 27). Han fann därför lämpligt att man på utdrag från dataregister anger telefonnummer till den enhet eller den tjänsteman som handlägger frågan eller kan lämna upplysningar i saken men ville i övrigt inte föregripa vad DALK kunde komma fram till.
Enligt OSKs förslag skulle datainspektionen bl.a. fungera som en da- taombudsman eller klagomur dit allmänheten kunde vända sig med klago- mål eller förfrågningar rörande användningen av ADB för personregistre- ring. Vid remissbehandlingen diskuterades behovet av en oberoende tjäns- teman som kunde beakta de registrerades synpunkter. Man övervägde också huruvida en sådan tjänsteman kunde inordnas i datainspektionens organisation, få ställning som självständig myndighet eller bli en del av något redan fungerande offentligt organ. Departementschefen ansåg det emellertid inte behövligt att införa någon särskild ombudsman i datafrågor eftersom allmänhetens intresse kunde tillgodses genom de kontrollorgan som redan fanns, dvs. JK och JO. Härutöver borde det enligt departe- mentschefens mening räcka med möjligheten att vända sig med förfråg- ningar och klagomål direkt till datainspektionen. Han förutsatte att erfor- derlig personal skulle avdelas där för kontakterna med allmänheten och att datainspektionen självmant skulle sprida information om sin verksamhet.
Registeransvarig är den för vars verksamhet personregister förs, om han förfogar över registret. Det är den registeranvarige som skall iaktta datala- gens skyddsregler till förmån för de registrerade. Den registeransvarige är
således sällan en fysisk person utan i de flesta fall en myndighet, en organisation eller ett bolag. Det finns naturligtvis bakom den registeran- svarige alltid fysiska personer med olika grad av ansvar för verksamheten.
4.7.3. Redovisning av förslaget
Den registeransvarige kan bli ganska svårfångad för allmänheten, inte minst hos stora myndigheter med omfattande registreringsverksamhet. Hur skall t. ex. den som drabbas av fel i ett register hos en myndighet veta vem som är ansvarig för hanteringen av registret? Denna fråga kompliceras ytterligare av att den interna ansvarsfördelningen hos en myndighet kan lägga olika funktioner i registeransvaret på skilda beslutsnivåer. Medan t. ex. rättelser ofta kan göras av lägre befattningshavare är det i allmänhet myndigheten som sådan som är ansvarig om ett fel har begåtts. Detta problem har inte diskuterats i samband med datalagens tillkomst.
Vi anser det angeläget att verka för att skärpa efterlevnaden av bestäm- melserna om rättelse i 8 & datalagen. Detta gäller oavsett vilka justeringar av lagrummet som kan bli aktuella. Det måste också bli lättare för de registrerade att få hjälp när de upptäcker felaktigheter som berör dem. Detta kan bara förverkligas om det finns en "mänsklig varelse av kött och blod” att vända sig till när någon vill begära rättelse av en uppgift i ett personregister.
Erfarenheterna visar att man inte kan lita enbart till datainspektionen och de offentliga organen för att komma till rätta med dåliga rättelseru- tiner. Dels har datainspektionen aldrig kunnat utnyttja sina resurser för tillsynsverksamhet i den omfattning som förutsågs när datalagen kom till och dels är problemen i stor utsträckning av den arten att åtgärder lämpli- gen bör sättas in direkt hos de registeransvariga.
Vi föreslår därför att det hos den som är registeransvarig för ett person- register såväl på den offentliga som på den privata sidan skall finnas en dataansvarig. Denne skall vara en kontaktperson, som bevakar utform- ningen av rättelserutiner vid uppbyggnad av nya register och vid föränd- ringar i befintliga sådana. Den dataansvarige skall också fortlöpande hålla noggrann uppsikt över felfrekvens och rättelserutiner. Den dataansvarige bör också medverka vid information till och utbildning av anställda samt hjälpa allmänheten till rätta. Alla dessa funktioner åligger redan den regis- teransvarige. Detta har emellertid inte alltid fungerat tillfredsställande. Det kan därför fortsättningsvis inte överlåtas till den registeransvarige att lika fritt som hittills själv finna formerna för verksamheten när det gäller rättelse. Utöver kravet på en särskild kontaktperson föreslår vi i det följande vissa skärpningar i datalagen. Vi betonar också vikten av att datainspektionen utnyttjar sina möjligheter att meddela föreskrifter.
Den dataansvarige bör vara underordnad den registeransvarige. Efter- som ansvaret för verksamheten ytterst vilar på den registeransvarige kan man utgå ifrån att det finns ett gemensamt intresse av att hitta lösningar i överensstämmelse med datalagen. Därutöver måste datainspektionen kun- na biträda vid eventuella meningsskiljaktigheter och, vid behov, ingripa i stället för den dataansvarige.
Den dataansvarige kan utöver sina övervakande, samordnande och råd-
givande uppgifter medverka till en bättre serviceanda och till större förstå— else för syftet med personregistreringen.
Den uppryckning i fråga om att följa datalagens rättelseregler som vi vill åstadkomma med vårt förslag om en dataansvarig kan komma att medföra kostnader för sådana registeransvariga som hittills har tagit mer eller mindre lätt på sina skyldigheter härvidlag. Det skall emellertid betonas att en sådan kostnadsökning inte förorsakas av att vi vill införa nya bestäm- melser utan av att vi vill ställa krav på att de som redan gäller skall följas. Den dataansvarige bör arbeta för större kunnighet hos personalen, klarare ansvarfördelning och ökat ansvarstagande hos överordnade. Lägre befatt- ningshavare skall inte längre behöva riskera att ställas inför orimliga krav i samband med att man bygger upp nya register eller inför nya rutiner i dem som redan finns. Det skall alltid finnas någon att tala med som inte kan skjuta problemen ifrån sig.
Det är svårt att bedöma den arbetsinsats som krävs från den dataansva- riges sida, särskilt i ett inledningsskede. Detta beror ju helt och hållet på hur det ser ut i det enskilda registret. Det är inte vår mening att uppdraget som dataansvarig skall bli av sådan omfattning att det dominerar över innehavarens ordinarie arbetsuppgifter.
Vi anser det inte motiverat att göra några undantag från skyldigheten att utse en dataansvaarig. Det finns naturligtvis många register som p.g.a. ringa storlek eller mindre känsligt innehåll skulle kunna befrias från skyl- digheten att utse en dataansvarig. Det är emellertid inte möjligt att över- blicka alla de problem som kan uppstå i olika typer av register eller att göra några generella avgränsningar av de register där behovet av en dataansva- rig är litet eller obefintligt. Vi vill inte heller belasta datainspektionen med att överlåta bedömningen på inspektionen. Den registeransvarige kan en- ligt gällande rätt aldrig dra sig undan sina skyldigheter enligt datalagen att rätta fel i ett register. Det är därför konsekvent att det alltid skall finnas en företrädare för den registeransvarige som är dennes kontaktman gentemot allmänheten.
Den registeransvarige kan i sitt självständiga val av en dataansvarig göra de avvägningar som behövs för att anpassa dennes funktion till de förhål- landen som gäller för det enskilda registret. I ett stort antal företag, organisationer och föreningar kan det vara tillräckligt att man automatiskt betraktar den registeransvariges närmaste ställföreträdare, t. ex. verkstäl- lande direktör, ordförande eller liknande, som dataansvarig. I de fall där hanteringen av felärenden och rättelserutiner är mera komplicerade eller frekventa blir det dock nödvändigt att avlasta vederbörande genom att utse någon annan person som både är lättillgänglig och har tillräckligt mycket tid för uppgiften. På den offentliga sektorn där personregistren ofta är stora och innehåller många integritetskänsliga uppgifter är det givetvis mindre lämpligt att låta den högste befattningshavaren vara dataansvarig.
När den registeransvariges närmaste företrädare kan fungera som da- taansvarig anser vi inte att det behövs några formella åtgärder för att fastställa detta. I övrigt får den registeransvarige besluta om vem som skall utses till dataansvarig.
Vi har övervägt behovet av att föra in uppgift om den dataansvariges namn i den förteckning som enligt 7 aé datalagen skall finnas hos den
registeransvarige. Även möjligheten att införa anmälningsskyldighet till datainspektionen har diskuterats. Vi föreslår emellertid inga sådana åtgär- der. Det är de personer som tar emot telefonsamtal, brev eller besök hos den registeransvarige som skall veta vem som är dataansvarig. Det är först om den registrerade inte får hjälp hos den registeransvarige som det finns anledning att vända sig till datainspektionen. När datainspektionen skall agera mot en försumlig registeransvarig är det av underordnad betydelse vem som borde ha fungerat som dataansvarig.
För att underlätta allmänhetens möjligheter att få kontakt med den dataansvarige är det lämpligt att ange dennes namn eller i vart fall telefon- nummer på registerutdrag och olika handlingar med uppgifter från ett personregister.
4.8. Behovet av kontroller av in- och utdata
Datainspektionen har möjligheter enligt datalagen att ställa krav på kon- troll av de uppgifter som skall registreras, s.k. indatakontroll. Detta kan ske genom föreskrifter i samband med tillståndsgivning eller senare, om förande av personregister har lett till otillbörligt intrång i personlig integri- tet. Den registeransvarige har också ett generellt ansvar för att registret inrättas och förs så att inte otillbörligt intrång i personlig integritet upp- kommer. Detta innebär bl.a. att man inte får registrera andra uppgifter än sådana som står i överensstämmelse med registrets ändamål. Den register- ansvarige är också skyldig att komplettera ofullständiga uppgifter om ofullständigheten kan antas medföra otillbörligt intrång eller fara för rätts- förlust. Rättelsereglerna innebär indirekt att den registeransvarige åläggs ett omfattande ansvar för en god indatakontroll.
Det finns alltså redan nu regler som syftar till en god indatakontroll. Ett mera uttryckligt stadgande om sådan kontroll skulle möjligen ändå kunna motiveras av en strävan att förtydliga och ytterligare inpränta vikten av noggrannhet i detta sammanhang.
Det har funnits tankar på att i datalagen föra in en allmän bestämmelse om att uppgifter i personregister skall vara ”tjänliga för registrets ända- mål”. Avsikten med detta är att höja registerkvaliteten.
I ett kommande betänkande skall vi behandla personnummeranvänd- ningen i samhället. Det blir då aktuellt att bl.a. undersöka om de krav datainspektionen ställer när samkörningar tillåts är tillräckliga för att ga- rantera en god datakvalitet. Först därefter vill vi ta ställning till frågan huruvida det finns behov av nya regler om indatakontroll. Vi kan redan nu se svårigheter att klara den gränsdragning som blir nödvändig vid ett särskilt stadgande om otjänliga uppgifter. I den mån vi anser åtgärder behövliga är det kanske mera motiverat att föreslå regler om god samkör- ningssed i datalagen.
Vi avser också i vårt fortsatta arbete att överväga behovet av att i vissa register ställa krav på utdatakontroll i form av rutinkontroll eller liknande av de uppgifter som tas ut från registret. Detta skulle motverka spridning av felaktigheter som är så orimliga att de lätt kan uppfattas av de flesta handläggare. Fördelen med en sådan bestämmelse är den minskade risken för urskiljningslösa kravåtgärder m.m. (jfr mot 1982/83: 510, avsnitt 4.3)
4.9. Kravet på rättelseåtgärder bestäms med hänsyn till felets karaktär
4.9.1. Vårt förslag
Vi föreslår att alla oriktiga upgifter skall rättas utan hänsyn till om de är integritetskänsliga eller ej. Vi föreslår också att uppgifter som är missvisande eller som har blivit missvisande på grund av ändrade förhållanden efter registre- ringstillfället skall rättas om det finns risk för otillbörligt intrång i personlig integritet.
4.9.2. Bakgrund
Enligt nuvarande regler skall en oriktig personuppgift som ingår i personre- gister rättas eller uteslutas om det finns skäl för en sådan åtgärd. Någon skyldighet att rätta finns inte om uppgiften saknar betydelse från integri- tetssynpunkt.
Det har sällan blivit någon diskussion om huruvida en uppgift är oriktig i datalagens mening eller ej. Förklaringen är av allt att döma att begreppet ”oriktig uppgift” enligt datainspektionens praxis fått en annan innebörd än den rent språkliga. Datainspektionen har rekommenderat en ändamålsbe- dömning som i varje enskilt fall tar hänsyn till hur registeruppgifterna skall användas. Detta innebär t. ex. att en taxeringsändring inte behöver föras in i skatteregistren men att ändringen skall anges om inkomstuppgifter m.m. från dessa register används i andra sammahang. Denna flexibilitet vid bedömning av rättelsebehovet har emellertid inte alltid fungerat hos de registeransvariga. Därför har förslag förts fram om att rättelseskyldigheten borde utvidgas till missvisande uppgifter och uppgifter som är otjänliga för registrets ändamål. Ett annat förslag är att man skall kunna ställa högre krav än nu på komplettering av ofullständiga uppgifter.
Registeruppgifter sprids ibland även sedan de registrerade förhållandena har ifrågasatts eller t.o.m. omprövats och ändrats. Ett exempel är taxe- ringsuppgifter i de regionala och centrala skatteregistren. Det rör sig här om uppgifter som var korrekta när de registrades. Taxeringarna är emeller- tid inte slutligt fastställda när de registreras och kan därför senare bli ändrade genom rättelse av länsstyrelse eller lokal skattemyndighet eller genom domstolsavgörande. Efter det att skattelängden har framställts i december görs inga korrigeringar i skatteregistrens taxeringsdel. Korriger- ingarna görs i stället i den manuellt hanterade skattelängden, vilken är skattemyndighetens arbetsinstrument.
Underlåtenheten att föra in taxeringsändringar i skatteregistren får såle- des inga negativa konsekvenser vid skattedebiteringen. Det är först när uppgifter från skatteregistren inte används med tillräcklig omsorg i andra sammanhang som de registrerade kan drabbas av betydande olägenheter innan en missvisande uppgift har ändrats eller blivit riktigt tolkad.
När uppgifter från skatteregistren används för kreditupplysning har det
t.ex. i den allmänna debatten klagats över att oriktiga eller missvisande uppgifter har ställt till problem för de registrerade.
Ett annat område där uppgifter från skatteregistren har använts på ett sådant sätt att deras tillförlitlighet har blivit ifrågasatt är kommunernas kontroll av mottagare av bostadsbidrag. Inkomstuppgifter som senare ändrats har betraktats som definitiva och utbetalade bidrag har felaktigt krävts tillbaka.
Det tidigare nämnda folkpartiförslaget, mot 1983/84: 937, om replikrätt innebär att de registrerade skulle få rätt att föra in rättelser, komplettering- ar eller andra kommentarer i registren. Enligt motionen ger godtyckligt eller illvilligt avskärmade uppgifter ofta ett falskt intryck (nyckelhålsef— fekt). Detta vill motionärerna komma till rätta med genom att införa replikrätt.
4.9.3. Redovisning avförslaget
Det finns inte belägg för att gränsdragningen mellan uppgifter som är oriktiga eller missvisande har orsakat nämnvärda problem vid rättelser i personregister. När så är fallet rör det sig ofta om användning av uppgifter med dålig kvalitet. En registeransvarig är redan i dag i princip ansvarig för att registret inte innehåller uppgifter med dålig kvalitet. Datainspektionen tillåter inte samkörningar som kan ge upphov till sådan. Det vore därför ett slag i luften att införa sådana utökade skyldigheter att rätta som diskuteras här utan att samtidigt göra något för att mera generellt reglera datakvalite- ten.
Det finns emellertid, även om praktiska erfarenheter inte pockar på det, anledning att avskaffa förbehållet om att oriktig uppgift skall rättas endast ”om skäl föreligger” dvs. om den är integritetskänslig. Därigenom undvi- ker man definitivt besvärliga diskussioner i denna fråga. Uppfattningen om vad som innebär ett hot mot den personliga integriteten varierar nämligen från tid till annan. Begreppet har olika innebörd för olika människor. Det kan vara av betydelse att en uppgift förekommer tillsammans med vissa andra uppgifter eller överförs till ett annat register än det ursprungliga. Det torde vara mera betungande för den registeransvarige att ifrågasätta en begäran om rättelse än att verkställa den utan invändningar så snart det konstaterats att uppgiften är oriktig. Gentemot de registrerade är det en fråga om hänsyn och respekt att inte tilllåta fel i registren.
Eftersom vår målsättning är att åstadkomma enkla regler vill vi inskrän- ka begreppet oriktig uppgift till odiskutabla fel som varit ett faktum redan vid registreringstillfället. Sådana fel bör alltså alltid rättas. Det blir då nödvändigt att införa regler även för de fall där en uppgift är missvisande utan att vara direkt oriktig eller blir missvisande på grund av att förhållan- dena ändras efter registreringstillfället. I dessa båda fall vill vi behålla inskränkningen att det skall finnas skäl för att man skall kunna ställa krav på rättelseåtgärder. Det blir alltså fråga om en bedömning av uppgiftens betydelse för den registrerade från integritetssynpunkt. Vi återkommer i avsnitt 4.14 till den registrerades möjligheter att själv påverka och kontrol- lera att rättelser verkligen blir utförda.
Den kritik som har uppmärksammats beträffande skatteregistren aktua-
liserar inte enbart rättelsefrågor utan även offenlighetsprincipens tillämp- ning på ADB-upptagningar och myndigheternas försäljningsverksamhet.
JO uppmärksammade i samband med sin behandling av en rad felaktiga skattekrav i ett beslut den 30 december 1982 (jfr JO 198218 3 s. 20 f) möjligheterna för dem som av någon anledning inte anlitar de stora kredit- upplysningsföretagen att själva bevaka t. ex. sina affärsförbindelsers kre— ditvärdighet m.m. genom att hämta uppgifter från olika myndigheters register lokalt.
När uppgifter från skatteregistren på detta sätt används utan att vara tillrättalagda för ett annat användningsområde, t.ex. kreditupplysning el- ler kontroll av bostadsbidrag, kan informationen lätt misstolkas av dem som inte är väl insatta i den komplicerade lagstiftning och registerkon- struktion som uppgifterna är en produkt av.
Vi har övervägt att i viss mån försöka eliminera missförstånd hos använ- dare av uppgifter från skatteregistren genom att föreslå ett krav i skattere- gisterlagen (1980: 343) på en varningsmarkering som visar att taxeringspro- cess pågår. På detta sätt skulle mottagare av uppgifter bli informerad om att ett taxeringsbeslut ännu inte är slutgiltigt. Det skulle då också framgå att en debiterad kvarstående skatt eller en restförd skatt kan komma att ändras.
Enligt upplysningar från riksskatteverket (RSV) planerar man att i skat- teregistren föra in sådana rättelser av uppenbara fel vid taxering i första instans som länsstyrelser och lokala skattemyndigheter gör med stöd av 72 a & taxeringslagen (1956: 623). Sådana rättelser förs nu endast in i ett särskilt omräkningsregister. Omläggningen beräknas ske tidigast fr.o.m. år 1987. I samband med förberedelserna för nämnda åtgärd kommer RSV även att utreda och överväga möjligheterna att registrera att ett taxerings- beslut har överklagats till länsrätt. En bedömning måste då enligt RSV göras både med hänsyn till de behov som finns inom skatteförvaltningen och hos externa mottagare av uppgifter från skatteregistren. I detta sam- manhang avser man också att beakta de ändringar av skatteregisterlagen m.fl. författningar som en ökad registerföring kan komma att aktualisera.
Med anledning av de upplysningar vi fått från RSV lägger vi f.n. inte fram något eget förslag till åtgärder. Vi förutsätter emellertid att de föränd- ringar som kan behövas införs fr.o.m. år 1987 även vad beträffar marke- ring av att taxeringsprocess pågår. Vi avser att följa utvecklingen och om det blir nödvändigt återkomma till frågan.
Den här föreslagna ordningen med markering av beslut som är föremål för omprövning behöver naturligtvis inte förbehållas skatteregistren om det uppstår behov av samma lösning på andra områden. Det är lämpligt att datainspektionen då tar initiativet.
Möjligheten att föreskriva varningsmarkeringar kan eventuellt användas för att motverka spridning av missvisande uppgifter från myndigheter. Av hänsyn till offentlighetsprincipen kan datainspektionen nämligen inte fritt meddela föreskrifter med stöd av 6 & 8 datalagen som begränsar enskilds rätt enligt 2 kap. tryckfrihetsförordningen (TF) att få del av personupp- gifter från myndighetsregister. Inte heller kan man gentemot allmänheten inskränka antalet söknycklar med stöd av punkt 7 i nämnda paragraf utan att motsvarande gäller även för den myndighet som för registret.
De nyckelhålseffekter som tas upp i motionsförslaget att införa en s. k. replikrätt uppstår huvudsakligen när samkörningar görs på ett olämpligt sätt. En replikrätt i den utsträckning som har föreslagits är dock knappast genomförbar i praktiken. Ett register belamrat med kompletteringar och kommentarer bemötta av kommentarer anser vi inte vara förenligt med datalagen. Den registeransvarige och datainspektionen måste i stället, som hittills, bära hela det formella ansvaret för att de registrerade inte drabbas vare sig av nyckelhålseffekter eller annat integritetsintrång.
4.10. Specialregler är motiverade för register förvarade hos arkivmyndighet
4.10.1. Vårtförslag
Vi föreslår att reglerna om rättelse i 8 & datalagen inte skall gälla för
personregister som förvaras hos arkivmyndighet som avses i allmänna arkivstadgan och som har överlämnats för förvaring.
4.10.2. Bakgrund
I en skrivelse till regeringen den 20 november 1980 anmälde datainspek- tionen behov av ändringar i datalagen såvitt gäller förvaring av personre- gister eller del därav hos arkivmyndigheter. En arbetsgrupp med företräda- re för inspektionen och riksarkivet uttalade en osäkerhet huruvida arkiv- myndigheter var att betrakta som registeransvariga enligt datalagen sedan registren överlämnats till dessa för långtidsförvaring. Enligt promemorian kunde problemet med arkivmyndigheternas befattning med avlämnade personregister lösas genom ett tillägg till ] & datalagen. Tillägget skulle innebära att personregister som har mottagits för förvaring av en arkiv- myndighet som anges i allmänna arkivstadgan inte skulle omfattas av bestämmelserna i datalagen.
Datalagstiftningskommittén (DALK) framhöll i sitt betänkande Tillstånd och tillsyn enligt datalagen (Ds Ju 1981: 15) att personregister som har överlämnats till förvaring hos en arkivmyndighet knappast kunde antas innebära risk för otillbörligt intrång i personlig integritet så länge registret förvaras hos arkivmyndigheten enbart för arkivändamål. Sådana register behövde därför enligt DALK:s mening, oavsett registerinnehållet, endast vara underkastade registrerings- och licensplikt.
I en remiss med anledning av DALK:s förslag infrågasatte riksarkivet om bl. a. 8 och 9 %% datalagen borde vara tillämpliga på personregister som har överlämnats till arkivmyndighet. Skälet angavs inte i första hand vara de praktiska svårigheterna utan de principiella betänkligheter som måste göra sig gällande eftersom det hittills varit främmande för en arkivmyn- dighet att ändra i det historiska källmaterial som tagits emot för förvaring. Både SCB och riksarkivet erinrade också om möjligheten att göra ett tillägg i 1 & datalagen. Efter förslag i prop. 1981/82: 189 undantogs register som har lämnats till arkivmyndighet från tillståndsplikt, förteckningsskyl—
dighet och från skyldighet att lämna underrättelse till registrerad enligt 10 % datalagen. I övrigt ville departemenschefen avvakta DALK:s fortsatta arbete.
DALK kom aldrig att presentera något konkret förslag om Specialregler när det gäller rättelser i den här behandlade typen av register.
4.10.3. Redovisning avförslaget
Vi anser att det inte är motiverat från integritetsskyddssynpunkt att belasta arkivmyndigheter med en skyldighet att rätta när det gäller register som har mottagits enbart för förvaring. Praktiska, ekonomiska och arkivmäs- siga hänsyn talar också mot detta. Förslaget ligger dessutom i linje med att tillståndsplikten och skyldigheten att lämna registerutdrag tidigare har avskaffats.
Det faktum att arkivmyndigheterna numera tar emot allt större mängder nyproducerat material i form av ADB-upptagningar som alltjämt kan ha viss aktualitet medför enligt vår mening inte sådana faror att rättelseskyl- digheten måste bibehållas.
4.11. Forsknings- och statistikregistren bör inte specialregleras
När det gäller register för forskning och statistik finns ett uttalat önskemål om undantag från datalagens rättelseregler. Från forskningshåll har man framfört krav på att olika regler skall gälla för forskningsregister och myndigheternas beslutsregister. I forskningsregistren förekommer det att uppgifter ganska snart avidentifieras. Registret upphör därmed att vara personregister och datalagen ärinte längre tillämplig. I ett inledningsskede när uppgifter samlas in och bearbetas behöver man emellertid ofta tillgång till bl. a. personnummer.
Statistiska centralbyrån (SCB) har utvecklat ett system som innebär att personnumren avslägsnas vid SCB:s datacentral i Örebro och ersätts med en anonym sifferkod. Det skall därefter enligt SCB inte vara möjligt att ta tillbaka personnumret. Genom att kryptera olika undersökningar med sam- ma sifferkod kommer man enligt SCB även i fortsättningen att kunna göra samkörningar utan att uppgifterna är personnummeranknutna.
Datainspektionen har ännu inte i något konkret ärende tagit ställning till SCB:s förslag. Framför allt är det osäkert om systemet kan utformas så att det inte går att härleda uppgifterna till olika personer igen.
I det förslag som föregick 1982 års ändringar i datalagen konstaterade DALK att det främst av lagtekniska skäl inte var lämpligt att i datalagen föreskriva undantag från tillståndsplikt för bl.a. vetenskapliga register. DALK sade sig emellertid förutsätta att datainspektionen skulle tillämpa ett förenklat förfarande för sådana register. I propositionen hänvisade departementschefen till DALK:s fortsatta arbete men godtog tanken på att man tills vidare kunde tillämpa ett förenklat tillståndsförfarande.
Statistikutredningen föreslog i sitt betänkande Framtida statlig statistik (SOU 1983: 74) att tillståndstvånget enligt 2 & datalagen skulle upphävas
för personregister för forsknings- och statistikändamål, eftersom enskilda uppgifter i sådana register inte läggs till grund för åtgärder som riktar sig mot den enskilde. En majoritet av remissinstanserna avvisade förslaget.
I prop. 1984/85: 133 om skärpningari statistiksekretessen tog regeringen avstånd från statistikutredningens förslag. Departementschefen uttalade att det är synnerligen angeläget att den enskildes integritet och sekretes- skydd beaktas i samband med inrättandet av dataregister. De aktuella registertyperna, som har fått en stor omfattning, bör i linje med den inställningen också i fortsättningen bevakas från integritetssynpunkt med stöd av datalagen. Tillståndskravet för personregister för forsknings- och statistikändamål har alltså behållits oförändrat.
Det kan nämnas att datainspektionen inte motsätter sig att forsknings- och statistikregistren undantas från tillståndsplikt under förutsättning att man tillämpar internationella regler för insamling, bearbetning och redo- visning av statistik och forskningsuppgifter dvs. låter undersökningarna baseras på s.k. informerat samtycke. Detta innebär att de registrerade deltar frivilligt och informeras om alla inslag i den aktuella undersökningen som kan påverka deras villighet att delta. De medges också rätt att avbryta sin medverkan.
Vi är för närvarande inte beredda att föreslå någon särreglering i rättel- sereglerna för forsknings- och statistikregistren. Vi vill avvakta ytterligare utredning när det gäller möjligheter att avidentifiera och kryptera uppgifter i dessa register.
4.12. Den registeransvarige skall rätta
Enligt 8 & datalagen skall den registeransvarige se till att eventuella fel blir rättade. Det framgår också av departementschefens uttalande i prop. 1973: 33 s. 133 att det åligger den registeransvarige att verka för att en oriktig uppgift som övertagits från annat register blir rättad. Den som vill få en uppgift rättad får då vända sig till den varifrån uppgiften härrör och begära rättelse. Detta skall göras även när det endast finns misstanke om att uppgiften är oriktig.
Datainspektionen och JO har konstaterat att rättelser inte alltid görs i den utsträckning som datalagen förutsätter. De har visat på att det brister både när det gäller att verka för rättelse i andra register och att göra följdrättelser i egna register.
Ibland förekommer en okritisk användning av uppgifter från andra regis- ter. Varje handläggare hos en myndighet har naturligtvis ansvar för en rimlig kontroll av de registeruppgifter som läggs till underlag för beslut eller andra åtgärder. Det är emellertid uppenbart att man inte utan anled- ning kan kräva en rutinmässig kontroll från tjänstemännens sida av alla registeruppgifter. Det är många gånger omöjligt att avslöja felaktigheter på annat sätt än genom påpekanden av de registrerade. Mot fel av den typ som inte kan avslöjas utan orimliga kontrollrutiner eller kunskapskrav på användarna måste eventuella åtgärder sättas in redan vid kontrollen av indata (jfr avsnitt 4.8).
Krav från registrerade om att felaktiga uppgifter skall rättas får inte mötas av bristande förståelse och undanflykter. Detta står i direkt strid med datalagens anda. Alla som sysslar med personregister förda med hjälp av ADB måste självfallet skyndsamt vidarebefordra en begäran om rättelse om de inte själva har möjlighet att besluta i ärendet.
Enligt vår uppfattning kan de diskuterade problemen lösas av en da- taansvarig som får möjlighet att, i samråd med berörda personalkategorier, se över rättelserutinerna och därefter fungera som vägledare vid tveksam- het om hur konkreta frågor skall hanteras. Vi anser därför inte att det är befogat med några ytterligare ändringar i datalagen för att bestämma vem som skall vidta åtgärder för att åstadkomma rättelser i personregister.
4.13. Ändamålsprövning avgörande för rättelseåtgärden
Utöver bestämmelsen i 8 & datalagen finns regler om rättelse av felaktig uppgift i 19 & förvaltningslagen (1971:290) och i 5 & kungörelsen om ut- gallring ur upptagning för automatisk databehandling (1974:648). I en rapport från Institutet för rättsinformatik vid Stockholms universitet (IRI-rapport 1983: 8 s. 52) diskuteras bl. a. behovet av klarare regler när det gäller rättelse och ändring. Rapporten berör också de risker som är förenade med bristande kontroll över förändringar i datalagrad informa- tion.
Den valmöjlighet som datalagen ger mellan att rätta eller utesluta en felaktig uppgift i ett personregister har tillämpats så att man med utgångs- punkt från varje enskilt registers ändamål har kunnat välja den lämpligaste rättelsemetoden. I många fall torde uppgifter uteslutas utan dokumenta- tion, t.ex. fel som rör namn, adresser m. m. och utgallring av personer som p. g. a. ändrade förhållanden inte längre skall vara registrerade. När det gäller integritetskänsliga uppgifter, t. ex. sådana som förekommer i register för kreditupplysning och i datajournaler inom hälso- och sjukvården, har datainspektionen rekommenderat att uteslutning av felaktiga uppgifter do- kumenteras.
Datainspektionen har inte gjort gällande att det behövs några andra generella anvisningar för val av rättelsemetod än de angivna. Detta gäller även i fråga om dokumentation av rättelser.
Om man i samband med rättelse låter en felaktig uppgift stå kvar i registret i stället för att dokumentera den separat, t.ex. i ett manuellt register, kan man riskera att uppgiften sprids genom bearbetningar som inte beaktar att en tilläggsanteckning eller annan åtgärd har gjorts för att markera att den felaktiga uppgiften inte gäller.
I motion 1981/82: 2405 av Göthe Knutson (m) yrkades bl. a. ett tillägg i 15 kap. l & sekretesslagen av innebörd att en ändring i ett diarium endast skall få ske på sådant sätt att såväl den nya som den tidigare uppgiften finns kvar i läsbar form. Konstitutionsutskottet (KU 1982/83: 12 s. 13 och 22) konstaterade att ett diarium enligt 2 kap. 7 & TF blir allmän handling så snart det färdigställts för införande av uppgifter och att det inte är tillåtet att ändra i en allmän handling på annat sätt än att det klart framgår att en uppgift ändrats. Detta uttalande kan tolkas som att datalagens bestämmel-
_..- t..—w_s uww
se om uteslutning av felaktiga uppgifter aldrig kan användas vid rättelse i offentlig handling. I lagens förarbeten finns emellertid inget belägg för en sådan tolkning.
De erfarenheter som finns tyder på att nuvarande möjligheter att anting- en rätta eller utesluta felaktiga uppgifter i ett personregister fungerar bra. Det vore vidare onödigt betungande att kräva dokumentation av alla rät- telser. Det bör som hittills få ankomma på den registeransvarige att avgöra om dokumentation behövs eller inte. Med hjälp av den föreslagne dataan- svarige och datainspektionen bör de registeransvariga ha goda förutsätt- ningar att tillämpa reglerna på ett tillfredsställande sätt.
Vi är alltså inte beredda att föreslå något generellt förbud mot att utesluta uppgifter i personregister eller att kräva dokumentation av alla uteslutna uppgifter. Vi förutsätter emellertid att datainspektionen såväl i tillståndsärenden som vid utövande av tillsyn i de fall där detta kan vara motiverat prövar behovet av föreskrifter om dokumentation av rättelseåt- gärder med hänsyn till risken för otillbörligt intrång i personlig integritet. Dokumentationen bör givetvis utformas så att risken för att felaktiga uppgifter sprids genom bearbetningar med hjälp av ADB elimineras så långt detta är möjligt.
KU har endast uttalat sig om rättelser i myndighets diarium. Datainspek- tionen anser att rättelse av uppgift i allmän handling regelmässigt skall dokumenteras såvitt det rör sig om en saklig ändring och inte korrigering av stavfel eller dylikt.
Ändringar i myndigheters personregister som är allmän handling bör också enligt vår mening dokumenteras om de gäller sakuppgifter av bety- delse från integritetssynpunkt. Om dokumentationen görs separat kommer den inte i konflikt med rätten att få en felaktig uppgift utesluten ur regist- ret. Med utgångspunkt från denna huvudregel måste varje myndighet avgöra när en rättelse behöver dokumenteras.
Vi anser således inte att de regler som nu gäller angående uteslutning och gallring i samband med rättelse hindrar sådan dokumentation som motiveras av krav på insyn i myndigheternas verksamhet eller av integri- tetshänsyn.
4.14. Underrättelseskyldigheten bör utökas 4.14.1 Vårt förslag
När det finns risk för otillbörligt intrång i den registrerades personliga integritet föreslår vi att den registeransvarige, i den omfattning detta är möjligt, skall vara skyldig att underrätta mottagare av oriktig eller missvisande uppgift om att uppgiften har rättats, oberoende av om den registrerade har begärt att underrättelse skall ske.
Om den registrerade begär det skall den registeransvarige alltid, där detta är möjligt, underrätta mottagare av oriktig eller missvisande uppgift om att uppgiften har rättats.
4.142. Bakgrund
Har en uppgift, som rättats eller uteslutits, lämnats ut till annan än den registrerade, skall den registeransvarige på begäran av den registrerade underrätta mottagaren. Om det finns särskilda skäl kan datainspektionen befria den registeransvarige från underrättelseskyldigheten.
Departementschefen förutsatte i prop. 1973: 33 s. 134 att den register- ansvarige i de fall rättelse rör en omständighet som är av betydelse från integritetssynpunkt självmant upplyser den registrerade om rättelsen så att denne kan kräva underrättelse till mottagare av den felaktiga uppgiften. Departementschefen påpekade också att det i många fall torde vara nöd- vändigt att kontakta den registrerade för att en rättelse över huvud taget skall kunna göras.
Hos myndigheter gäller i regel förvaltningslagen. Enligt 19 5 krävs att den enskilde skall få yttra sig innan man rättar en felaktig uppgift i beslut som rör honom. Det finns de som menar att allmänna förvaltningsrättsliga grundsatser förutsätter underrättelse till dem som berörs vid alla rättelser i offentliga register.
Det är oklart i vilken utsträckning integritetskänsliga uppgifter rättas utan att den registrerade alls får kännedom om detta. Att så sker då och då är dock troligt.
Lagtextens ordalydelse ger intryck av att den registrerade har en oin- skränkt rätt att kräva underrättelse till samtliga mottagare av en felaktig uppgift. Detta är emellertid ofta praktiskt omöjligt eftersom man inte vet vilka som haft tillgång till uppgiften. Vid s.k. offentlighetsuttag har ju mottagare av uppgifter i allmänhet en grundlagsskyddad rätt att bevara sin anonymitet. Det är emellertid också vanligt att uppgifter lämnas ut via terminal eller vid selektiva uttag för utomståendes räkning utan att detta dokumenteras. Även i dessa fall blir det i praktiken omöjligt att underrätta mottagare av felaktiga uppgifter om att dessa har rättats.
I en tidigare redovisad folkpartimotion (jfr avsnitt 4.3) föreslås ökade krav på innehållet i registerutdrag enligt 10 & datalagen. Motionärerna vill bl. a. att sådant utdrag skall innehålla information om den registeransvari- ges ADB-verksamhet och ändamålet med registret. Finansutskottet har hänvisat till datainspektionens promemoria angående tillämpningen av 8 & datalagen. Datainspektionen rekommenderar där att registeransvariga myndigheter på lämpligt sätt skall tillvarata alla möjligheter att informera om vilka personregister myndigheten har i sin verksamhet och om insyns- rätten enligt 10 & datalagen.
I datainspektionens promemoria sägs också att en myndighet vid rättelse eller uteslutning av oriktig personuppgift bör göra en bedömning av beho- vet att, oavsett om det gjorts någon framställning från den registrerade eller inte, meddela rättelsen till mottagare i de fall när noteringar gör det möjligt. I detta sammahang skall också påpekas att datainspektionen med- delar loggföreskrifter när så anses erforderligt.
4.14.3. Redovisning avförslaget
Den som i allmänhet har lättast att avgöra om en uppgift i ett register är riktig eller inte och som ofta har störst intresse av att få en felaktig uppgift rättad är den som uppgiften gäller.
En förutsättning för att den registrerade skall få en realistisk möjlighet att reagera på oriktiga uppgifter är emellertid att han får veta att han finns registrerad i ett visst register och vilka uppgifter som finns registrerade om honom. Redan i dag kan den registrerade enligt 10 & datalagen få veta vad som finns registrerat om honom i ett personregister under förutsättning att uppgifterna inte skall hållas hemliga också i förhållande till den registrera- de på grund av någon bestämmelse om sekretess. Undantaget från rätten att få utdrag innebär t.ex. att den enskilde inte har rätt att ur polisens register få veta att han är efterspanad för brott.
För att den registrerade skall få ett registerutdrag krävs emellertid att han är aktiv och själv skriver till olika myndigheter, företag etc. Han måste alltså själv ta reda på vilka register som finns, om han är registrerad i något av dessa register och i så fall vad som är registrerat. I praktiken innebär detta att den enskilde i allmänhet inte får veta i vilka register han förekom- mer och vad som är registrerat om honom. Detta är möjligen ett av skälen till att de registrerade hittills begärt utdrag enligt 10 å i ganska liten omfatt- ning.
Förutsättningarna för rättelse skulle naturligtvis bli bättre om den regis- teransvarige i större utsträckning än i dag kunde få hjälp av den registrera- de att upptäcka de oriktiga uppgifter som registren innehåller. En sådan förändring kan åstadkommas genom att den registeransvarige åläggs en skyldighet att skicka registerutdrag till den registrerade. För detta ändamål skulle man behöva ändra 10 % datalagen så att initiativet till att den regist- rerade får ett utdrag läggs på den som har lättast att se till att ett sådant utdrag når den registrerade. Initiativet skulle alltså inte som nu ligga på den registrerade utan på den registeransvarige.
I dag har den registrerade rätt att få ett registerutdrag utan kostnad en gång om året. Det finns inget som talar för att utdrag behöver skickas med tätare mellanrum, t. ex. så snart en ändring skett i registret. Tvärtom skulle utdragen kanske kunna skickas med längre mellanrum än ett år.
Det skulle inte heller vara nödvändigt att alltid skicka utdragen i en separat försändelse. Den registeransvarige för ofta ett personregister bl. a. för att skriftligen kunna kontakta den registrerade i syfte att erbjuda denne något, t. ex. att köpa en bok, eller att avkräva den registrerade något, t. ex. en deklaration. Kostnaderna och besväret för den registeransvarige och den registrerade skulle kunna begränsas om den registeransvarige utnyttjar möjligheten att skicka utdrag när han ändå avser att skriftligen kontakta den registrerade.
Man kan naturligtvis fråga sig om en skyldighet att regelbundet skicka registerutdrag skulle medföra att allmänheten kommer att överhopa olika registeransvariga med krav på rättelser. Vi tror inte att det skulle bli så. Hittillsvarande erfarenheter av användningen av 10 & datalagen när det gäller stora statliga register ger närmast vid handen att antalet fall när rättelser begärs är mycket få. Däremot föranleder utdragen inte sällan att
rekvirenten begär förklaringar och förtydliganden av innehållet. Enligt vad vi i det föregående sagt om den dataansvarige rimmar det väl med dennes tänkta arbetsuppgifter att ha ett övergripande ansvar för att konstaterade fel blir rättade och att den registrerade underrättas om de åtgärder som vidtagits i anledning av hans anmälan.
Vi har övervägt detta och kan se både fördelar och nackdelar med en skyldighet för den registeransvarige att skicka registerutdrag med regel- bundna mellanrum till de registrerade. Till fördelarna hör att den register- ansvarige med den registrerades hjälp kan kontrollera riktigheten av inne- hållet i registret. Till de stora fördelarna hör också att den registrerade får veta i vilka register han förekommer och vad som är registrerat om honom. Andra fördelar är att den registeransvarige — i medvetande om underrät- telseskyldigheten — frågar sig vad han har i registret, om han behöver alla uppgifterna och om de ”tål” att lämnas ut till den registrerade. En under- rättelseskyldighet kan också bli en drivfjäder till en förbättrad register- vård. Många skulle säkert till fördelarna också räkna att man bättre än hittills kan få reda på hur mycket som registreras om den enskilde och välkomna en debatt på bättre underlag än hittills om huruvida dataregistre- ringen i samhället är lagom, för omfattande eller för liten.
Det finns otvivelaktigt en hel del goda skäl för någon form av utökad skyldighet för den registeransvarige att skicka ut registerutdrag till de registrerade. Det är emellertid svårt att överblicka om nyttan av en så genomgripande förändring verkligen svarar mot de kostnader och det arbete som kan bli följden. 9 Vi anser det inte behövligt att införa några ändringar beträffande skyl- digheten att lämna registerutdrag enbart för att komma till rätta med de problem som avser rättelser i personregister. Det är dock möjligt att vi får anledning återkomma till denna fråga när vi skall behandla personnummer- användningen.
En registeransvarig som vill vinnlägga sig om ett gott förhållande till de registrerade kan nog ofta uppnå detta genom bättre information om regis- trets ändamål och innehåll. Detta kan med fördel ske vid tillfällen när man ändå har kontakt med de registrerade t.ex. när man skickar registerutdrag.
Vi anser att datainspektionens rekommendation'om att underrättelse till mottagare av felaktig uppgift vid behov skall ske även om den registrerade inte begär det är väl befogad. Detta står ju också helt i överensstämmelse med departementschefens uttalande vid datalagens tillkomst. Vi vill dock inskränka den obligatoriska underrättelseskyldigheten till rättelseåtgärder där uppgiften kan innebära otillbörligt intrång i personlig integritet. I övriga fall bör det som hittills krävas att den registrerade tar initativet till att begära rättelse om han anser att det är nödvändigt. Den föreslagna ändringen innebär inte några nämnvärda förändringar jämfört med vad som redan gäller. Den registeransvariges ambitionsnivå bör ligga så högt att mottagare av felaktig uppgift ofta underrättas utan att datainspektionen uttryckligen säkerställt detta genom särskild föreskrift.
Det är vår övertygelse att datainspektionen gör en godtagbar avvägning i de fall där loggningsförekrifter behövs och kan stödja den dataansvarige så att man får en lämplig avvägning även i övrigt. Ett bekymmer i detta sammanhang är möjligen de register som kan inrättas efter anmälan för
licens. särskilt om kretsen av sådana ytterligare kommer att utökas. An- mälningsregistren innehåller naturligtvis i stor utsträckning uppgifter som inte är särskilt känsliga ur integritetssynpunkt men undantag saknas inte och datainspektionens resurser för tillsynsverksamhet är begränsade.
Vi är alltså varken beredda att föreslå obligatorisk skyldighet att under- rätta registrerad om att ett fel har rättats eller loggningskyldighet för att dokumentera all utlämning av uppgifter som inte är offentlighetsuttag. Avgörande för vår bedömning är att några egentliga missförhållanden inte har kommit till vår kännedom. Om det i framtiden visar sig att underrät- telser till mottagare av felaktiga uppgifter inte fungerar tillfredställande beträffande de register som är undantagna från datainspektionens till- ståndsprövning finns det anledning att överväga lämpliga åtgärder. Det- samma gäller om man, där loggföreskrifter saknas, i alltför stor utsträck- ning underlåter att underrätta mottagare av felaktiga uppgifter med hänvis- ning till att man saknar anteckning om mottagaren.
Möjligheten att befria en registeransvarig från att underrätta mottagare av oriktig uppgift utnyttjas, enligt uppgift från datainspektionen, inte och bör därför avskaffas. När det gäller uppgifter som varit föremål för offent- lighetsuttag har det givetvis aldrig krävts några beslut om befrielse för att underrättelseskyldigheten inte skall gälla.
Det kan slutligen finnas skäl att anmärka att det, i de fall där en enskild registrerad lider någon skada av betydelse på grund av fel i ett personregis- ter, måste tillhöra ovanligheten att han inte får känndom om felet. Lika sällsynt är det säkert att den mottagare i vars hand den oriktiga informatio- nen ger upphov till skada förblir anonym.
kål-lill :
ir f'J'E
5. Skadestånd
5.1. Skadestånd vid fel i personregister
5.1.1. Gällande rätt
Skadeståndsregeln i 23 & datalagen är mycket strängt utformad med ett s.k. objektivt skadeståndsansvar. Ansvaret är alltså oberoende av den skadeståndsskyldiges vållande. Sådana skadeståndsbestämmelser före- kommer endast i speciallagstiftningen och bygger då på tanken att den som genom sin verksamhet skapar speciella risker för människor i omgivningen skall bära de ekonomiska konsekvenserna av denna riskökning.
Datalagen medger också ersättning för s.k. ren förmögenhetsskada, d.v.s. förmögenhetsförlust som tillfogas den registrerade utan att förlus- ten står i samband med skada på person eller sak och för ideell skada, d.v.s. psykiskt lidande m.m.
Även om viss oriktighet i ett personregister inte är hänförlig till den registeransvariges handläggning skall skadeståndsansvaret gentemot den enskilde vila på den som sist har haft hand om uppgiften, d.v.s. den registeransvarige som har lämnat ut den oriktiga uppgiften eller på annat sätt orsakat skadan. Enligt ett särskilt uttalande av departementschefen vid datalagens tillkomst gäller allmänna regler om regressrätt. Den som blir skadeståndsskyldig p. g. a. att han har lämnat ut en uppgift som han har fått från någon annan kan alltså i sin tur kräva ut ansvar från den senare.
5.1.2. Bakgrund till gällande rätt
OSK ansåg att den dåvarande skadeståndslagens bestämmelser inte var tillräckliga för att reglera den registrerades rätt till skadestånd vid fel i personregister som förs med hjälp av ADB. OSK föreslog därför (jfr SOU 1972: 47 s. 92 f) att särskilda regler skulle gälla när registrerad hade utsatts för en skada genom att felaktiga uppgifter hade lämnas ut.
Vid remissbehandlingen av OSKs förslag (jfr prop. 1973133 5. 146 ff) föreslogs en särskild regel om ideellt skadestånd vid vissa straffbelagda handlingar, främst utlämnande av uppgift. Från flera håll ansågs emellertid att den föreslagna skadeståndskyldigheten var allt för långtgående. Ett annat alternativ som fördes fram var att begränsa rätten till skadestånd till de fall där oriktigheten medfört kränkning av den registrerades personliga integritet på ett väsentligt sätt. Några remissinstanser ansåg att endast sådana oriktigheter som är hänförliga till den registeransvariges egen hand- läggning skulle vara relevanta. Någon ville ha en utrycklig reglering av det inbördes ansvaret mellan den registeransvarige och den från vilken felaktig uppgift har lämnats ut.
Departementschefen konstaterade (jfr prop. 1973133 5. 148 ff) att den föreslagna skadeståndsbetämmelsen borde föras in i den nya datalagen. Han pekade bl. a. på att faktiska fel kan uppkomma i dataregister genom
missöden som inte kan läggas någon till last som vållande. Departements- chefen tyckte att vissa skäl talade för att utsträcka rätten till ersättning för ideell skada även till fall då brottslig handling har begåtts med avseende på datalagrat material utan att någon personuppgift har fått ett oriktigt inne- håll. Som exempel nämndes fall där någon stulit uppgift som i och för sig är riktig eller upprättat personregister utan tillstånd. Någon särskild bestäm- melse för sådana fall föreslogs emellertid inte i propositionen.
5.1.3. Kritik mot gällande ordning
Den kritik som har förts fram mot datalagens skadeståndsregel är allmänt hållen. Det rör sig i stort sett om samma argument som förekom redan vid remissbehandlingen av OSK:s förslag. Det finns således förespråkare både för skärpningar och för lindringar i förhållande till vad som nu gäller.
De kritiker som vill skärpa skadeståndsbestämmelsen har invänt mot att det enligt ordalydelsen endast går att få ersättning när en uppgift har blivit ”oriktig”. De har därför menat att det är oklart huruvida skadestånd kan utgå när en registrerad har lidit skada p. g. a. att en uppgift har saknats eller varit ofullständig. Det har också ifrågasatts vad som gäller när en uppgift är missvisande utan att vara oriktig.
Åtskilliga farhågor har uttalats med anledning av de registeransvarigas skadeståndskyldighet i fall där en oriktig uppgift har vidarebefordrats från en annan uppgiftslämnare. Särskilt vissa myndigheter anser att de kan drabbas hårt. Riksskatteverket och länsstyrelserna kan t. ex. riskera ska- deståndsanspråk p.g.a. fel som har begåtts av pastorsexpeditioner och lokala skattemyndigheter. Det är inte alltid regressrätten kan vara till hjälp. Detta kan ha flera olika orsaker, som t. ex. att man inte kan få ut någon ersättning från den som ursprungligen ansvarar för en oriktig upp- gift, att det inte lönar sig att driva en process i saken eller att man inte kan reda ut var felet har uppstått.
I riksdagen har Gunnar Biörck (m) i motion 1983/841333 föreslagit att envar som inför eller utför uppgifter i ett datoriserat personregister skall vara tvungen att signera sina åtgärder med datum och namn så att man när någon felaktighet sedermera upptäcks kan ställa vederbörande till ansvar bl. a. i form av personlig skadeståndsskyldighet.
I motion 1984/85: 452 av Ulf Adelsohn m.fl. (m) berörs möjligheterna att få skadestånd för den som drabbas av lidande på grund av felaktiga åtgärder från myndigheternas sida. Enligt motionärerna behövs klara regler för hur datoriserade personregister skall föras och hur ansvar och skadestånd skall kunna utkrävas vid registerfel.
I motion 1984/85: 1493 av Bengt Westerberg m.fl. (fp) efterlyses en striktare praxis vid tillämpning av Skadeståndsregeln i datalagen.
Motionerna har behandlats av konstitutions- och finansutskottet som har hänvisat till att DOK skall behandla skadeståndsfrågor.
Det förekommer ganska ofta invändningar mot den ringa storleken på de skadestånd som har betalats ut. Detta kan exemplifieras med några skade- ståndsärenden hos JK under åren 1984 och 1985 .
1. En oriktig adressuppgift i folkbokföringsregistret hade spritt sig till bl. a. riksförsäkringsverkets sjukförsäkringsregister och medfört försenad
utbetalning av bidragsförskott. Felet hade uppkommit genom att två perso- ner med samma namn hade förväxlats sedan pastorsämbetet aviserat om adressändring för den ene. Den drabbade mannen begärde ersättning av staten med 12000 kr. varav huvuddelen för eget arbete och för lidande. Utredningen visade endast att mannens post i vissa fall hade blivit förse- nad. Han ansågs varken berättigad till ersättning för psykiskt lidande eller för eget arbete. Däremot utbetalades 25 kr. för ränteförlust, portokost- nader, brevpapper m. m.
2. Sedan länsstyrelsen fått underrättelse om att en utomlands bosatt man hade ändrat namn sände trafiksäkerhetsverket ut ett nytt körkortsunderlag på vilket en bokstav i mannens namn var fel. På den avi som hade sänts ut fanns anvisningar om vad körkortshavaren skall göra om uppgifterna inte är riktiga. I stället för att iaktta denna rutin försökte mannen nå trafiksä- kerhetsverket per telefon och lade enligt egen uppgift ut 1 100 kr på de resultatlösa försöken att få kontakt med trafiksäkerhetsverket. Han ansågs inte berättigad till skadestånd.
3. Två makar begärde ersättning med 2500 kr. vardera för lidande, obehag och kostnader i samband med att en kronofogdemyndighet vid två olika tillfällen anmanat dem att betala kvarstående skatt trots att anstånd hade beviljats. Utredningen visade att det första kravet som riktats till båda makarna hade skrivits ut två dagar innan skattemyndigheten hade beslutat om anstånd. Det andra kravet, som enbart riktats mot mannen, hade däremot orsakats av ett fel hos kronofogdemyndigheten. Ersättning utbetalades till mannen med 500 kr. för visst obehag och en del extra arbete.
4. En man begärde ersättning med 50000 kr. för psykiskt lidande som han angav hade förorsakats av att han fått kontrolluppgift avseende annan persons inkomster från en taxeringsmyndighet. Utredningen visade att Tekniska Högskolan i Stockholm var arbetsgivare till en gästforskare, som saknade personnummer. För denne hade högskolan tillskapat en identi— tetsbeteckning som var densamma som klagandens personnummer och som angavs på kontrolluppgiften. Sedan klaganden besökt lokala skatte- myndigheten rättades felet efter ett fåtal dagar. Ersättningen bestämdes av JK till 500 kr. för psykiskt lidande.
5.1.4 Behöver rätten till skadestånd utvidgas?
De praktiska erfarenheterna av datalagens skadeståndsregel är, trots att den varit i kraft i mer än tio år, mycket begränsade. Detta beror på att antalet skadeståndsärenden varit litet. Det alldeles övervägande antalet av dessa har gällt anspråk mot staten. De har stannat hos JK som i de fall skadestånd över huvud taget medgetts har bestämt dessa till förhållandevis blygsamma belopp. Någon översikt av dessa ärenden finns varken hos JK eller datainspektionen.
Enligt vår mening täcker skadeståndsbestämmelsen i datalagen redan i sin nuvarande utformning de fall där en registrerad har lidit skada p. g. a. att en uppgift har saknats eller varit ofullständig och detta har medfört intrång i personlig integritet. Mot bakgrund av den tolkning ordet "orik- tig" fått vid tillämpning av rättelseregeln i 8 % datalagen finns det inte
heller något behov av lagändring för att tillförsäkra de registrerade möjlig- heten att få skadestånd när en uppgift har blivit missvisande utan att vara oriktig.
För att inte tillägget av "missvisande" uppgift i rättelseparagrafen skall skapa osäkerhet vid jämförelse med skadeståndsparagrafen föreslår vi att ordet "missvisande" läggs till även i denna paragraf.
Vi har inte kunnat konstatera annat än att de exempel från JK:s verk- samhet som har redovisats i föregående avsnitt är representativa. Vi anser inte att det ingår i vårt uppdrag att bedöma skäligheten av de ersättningar som har betalats ut i de redovisade fallen. Vi vill emellertid helt allmänt framhålla att det ofta kan vara motiverat att visa viss generositet när storleken på skadestånd enligt datalagen skall bestämmas.
Datalagens skadeståndsregel skall skydda den registrerade. Denne be- finner sig ofta i ett underläge i förhållande till myndigheter, organisationer och företag. Det är därför orimligt att begära av enskilda registrerade att de på egen hand skall efterforska felkällor och ta ställning till vem som bär huvudansvaret för att ett fel har uppstått innan skadeståndsanspråk kan framställas. Ett sådant krav på de registrerade skulle dessutom motverka ett starkt allmänintresse att upprätthålla hög registerkvalitet.
Vi anser inte att enskilda befattningshavare hos den registeransvarige bör kunna ställas till ansvar av den registrerade när ett fel har uppstått. Handläggarnas ansvar menar vi är en fråga mellan dessa och den register- ansvarige. Den registeransvarige bör även i fortsättningen bära det för- mella ansvaret gentemot de registrerade i fråga om skadestånd.
Vi anser däremot att det finns behov av en bättre information till allmän- heten så att de som blir utsatta för registerfel verkligen får möjlighet att överväga en talan om skadestånd mot den registeransvarige när detta är befogat. Vi anser det därför angeläget att den registrerade får upplysning om sina möjligheter till skadestånd enligt 23 & datalagen och om att an- språk som riktas mot staten skall anmälas hos JK. Detta är i enlighet med de rekommendationer som har lämnats av datainspektionen. Som exempel har riksskatteverket på folkbokföringsområdet lämnat information till pas- torsämbetena m.fl. om gällande regler och möjligheter att hos JK framstäl- la skadeståndsanspråk.
Om det blir så att ökade kunskaper hos de registrerade om datalagens skadeståndsbestämmelser resulterar i fler skadeståndsärenden kan det naturligtvis finnas anledning att på nytt överväga skadeståndsreglernas
utformning.
5.2. Rätt till ideellt skadestånd vid brott mot datalagen bör föreligga
5.2.1. Vårt förslag
Vi föreslår ett tillägg i 1 kap. 3 & skadeståndslagen som klart anger att ideellt skadestånd kan utgå i samband med brott mot datalagen.
5.2.2. Bakgrund
Det råder för närvarande viss tveksamhet huruvida det finns möjlighet att få ersättning för ideell skada från den som har begått ett brott mot datala- gen.
Enligt 1 kap. 3 & skadeståndslagen gäller bestämmelserna om skyldighet att ersätta personskada även i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten, genom annat ofredande som innefattar brott, genom brytande av post- eller telehemlighet, intrång i förvar eller olovlig avlyssning eller genom ärekränkning eller dylik brotts- lig gärning. Departementschefen uttalade i prop. 1972: 5 s. 571 att lagrum- met (då med delvis annan lydelse i 5 kap. 1 &) innehåller bestämmelser om skyldighet att utge ersättning för lidande vid vissa brott mot den personliga integriteten. Efter att ha räknat upp sådana brott som kan ge rätt till ersättning konstaterade han att uppräkningen inte gjorde anspråk på att vara fullständig. Det fick ankomma på domstolarna att med beaktande av grunderna för stadgandet och stadgandets lydelse avgöra hur långt man borde gå när det gäller att genom skadeståndsansvar ingripa mot straffbara förfaranden, som innefattar angrepp på den personliga integriteten.
Vid skadeståndslagens tillkomst var inte alla fridsbrott med i uppräk- ningen. I samband med att olovlig avlyssning kriminaliserades tillades detta brott, brytande av post-och telehemlighet samt intrång i förvar. I prop. 1975: 19 s. 89 uttalade departementschefen att en enhetlig skade- ståndsrättslig reglering av alla fridsbrott torde ligga väl i linje med vad som anförts vid skadeståndslagens tillkomst.
I datalagens förarbeten (jfr prop. 1973: 33) framgår att departementsche- fen vid denna tidpunkt inte var beredd att utsträcka rätten till ersättning för ideell skada även till fall då brottslig handling har begåtts med avseende på datalagrat material utan att personuppgift har fått oriktigt innehåll.
Frågan huruvida 1 kap. 3 & skadeståndslagen ändå kan tillämpas vid integritetsintrång i samband med brott mot datalagen har behandlats i rapporten ADB ochjuridik, (Ds Fi 1975: 3). I rapporten diskuteras möjlig- heten att , med stöd av uttalanden i skadeståndslagens förarbeten, i praxis utveckla principer om rätt till ersättning för ideell skada även vid straffbara handlingar. En sådan utveckling skulle enligt rapporten stå i samklang med den ökade uppmärksamhet på behovet av skydd mot otillbörlgt intrång i den personliga integriteten som kommit till uttryck i datalagen, kreditupp- lysningslagen och inkassolagen. Restriktiviteten på denna punkt i datala- gens förarbeten ansågs i viss mån inkonsekvent. I rapporten ställdes också frågan om inte kränkningar i den enskildes privatsfär borde bedömas skadeståndsrättsligt lika vare sig de uppkommer genom fridsbrott som t. ex. brott mot telehemligheter, eller genom handlingar som straffbelagts i datalagen vars huvudsyfte är att skydda den personliga integriteten.
5.2.3. Redovisning avförslaget
Vi vill vara restriktiva med att föreslå lagändringar eller andra åtgärder som inte kan motiveras av praktiska erfarenheter i samband med tillämp- ningen av nuvarande bestämmelser. Vi delar emellertid den framförda
uppfattningen att det, med hänsyn till de möjligheter till ideellt skadestånd i samband med brott mot den personliga integriteten som numera fast- ställts i skadeståndslagen, är inkonsekvent om man inte vid behov kan utkräva skadestånd för lidande som har orsakats av brott mot datalagens bestämmelser. Departementschefens uttalande i datalagens förarbeten och den allmänna restriktiviteten i svensk rätt när det gäller att medge ersätt- ning för ideell skada gör det mindre lämpligt att förlita sig till utvecklingen av praxis. Därför bör brott mot datalagen läggas till i 1 kap. 3 & skade- ståndslagen.
6. Patientuppgifter i personregister
6.1. Inledning
Regeringen har den 25 april 1985 beslutat att till DOK överlämna de avsnitt av journalutredningens betänkande (SOU 1984:73) Patientjournalen och de delar av remissvaren över betänkandet som gäller integritet och sekre- tess inom hälso- och sjukvården. Beslutet innebär att vi skall beakta frågor om patienternas integritetsskydd inom hälso- och sjukvården. Vi har redan nämnt (se avsnitt 3.1) att regeringens beslut, en sammanfattning av jour- nalutredningens betänkande och en sammanställning av remissyttrandena har fogats som bilaga 3, 4 och 5 till vårt betänkande.
Vi tar nu upp frågan om det är förenligt med gällande rätt att företrädare för en sjukvårdsinrättning lämnar ut uppgifter om en patient till bl. a. personal på regional och central nivå inom hälso- och sjukvårdsadministra- tionen. De utlämnade uppgifterna förs in och lagras i landstingens och socialstyrelsens ADB- stödda personregister. Frågan har fått ytterligare aktualitet genom ett besvärsärende hos regeringen. Ärendet gäller det 5. k. slutenvårdsregister för riket som socialstyrelsen har planer på att inrätta.
Vi lämnar i denna del av betänkandet en redogörelse för gällande rätt och tillämpningen av denna. Vår genomgång visar att tillämpningen i vissa avseenden inte förefaller att stå i överensstämmelse med gällande rätt. DOK lägger därför fram förslag till åtgärder för att de mest akuta bristerna skall kunna avhjälpas. Vi torde få anledning att återkomma till den nu aktuella och andra närliggande frågor i ett senare betänkande.
6.2. Gällande rätt
6.2.1. Hälso- och sjukvårdslagen
Verksamheten inom hälso- och sjukvården skall enligt 2 a % hälso- och sjukvårdslagen (1982: 763, HSL) bygga på respekt för patientens självbe- stämmande och integritet. Vården och behandlingen skall också så långt det är möjligt utformas och genomföras i samråd med patienten.
Det är mot bakgrund av hälso- och sjukvårdslagens honnörsord om självbestämmande, integritet och samråd som man bör se de stränga be- stämmelserna om sekretess till skydd för den enskildes personliga integri- tet inom hälso-och sjukvården.
Innan vi närmare beskriver sekretessen inom hälso- och sjukvården skall en kortfattad redogörelse lämnas för den allmänna uppbyggnaden av sekretesslagen (1980: 100, Seer).
6.2.2. Sekretesslagen Allmänt om sekretesslagen
Sekretesslagen innehåller bestämmelser om tystnadsplikt och om förbud att lämna ut allmänna handlingar (jfr 1 kap. 1 5 Seer).
Lagen har ett vidsträckt tillämpningsområde och gäller inom all verk- samhet som bedrivs av statliga och kommunala myndigheter (jfr ] kap. 6 & Seer). Med myndighet förstås varje organ som ingår i den statliga och kommunala organisationen, dvs. förutom myndigheter av mera traditio- nellt slag också kommittéer, nämnder, skolor, sjukhus och andra organ som inte alltid uppfattas som myndigheter i allmänhetens ögon (jfr ] kap. 8 & första stycket Seer). Däremot gäller sekretesslagen inte när statlig och kommunal verksamhet bedrivs i företagsform (jfr dock 1 kap. 85 andra stycket Seer).
Sekretesslagen är utformad för att i möjligaste mån tillgodose olika intressen. Bestämmelserna skall bl.a. ge skydd mot obehörig insyn i förhållanden som bör vara skyddade av hänsyn till allmänna eller enskilda intressen, t.ex. rikets säkerhet resp. personlig integritet. Samtidigt skall bestämmelserna vara utformade så att de så lite som möjligt inskränker allmänhetens berättigade krav på insyn i och kontroll av verksamheten i de statliga och kommunala myndigheterna. Det har alltså varit nödvändigt för lagstiftaren att göra grannlaga avvägningar mellan oförenliga eller i vart fall starkt motstridiga intressen.
Sekretesslagens olika bestämmelser om sekretess gäller inom ett visst verksamhetsområde, hos en viss myndighet eller i ett visst ärende. Detta innebär att sekretessen är begränsad till verksamhetsområdet, myndighe- ten eller ärendet. Sekretessen följer alltså inte automatiskt med uppgif- terna om de t. ex. lämnas från en myndighet till en annan. Det kan emeller- tid finnas en sekretessbestämmelse som skall tillämpas också hos den mottagande myndigheten. Exempelvis överförs sekretessen inte automa- tiskt när uppgifter lämnas från en sjukvårdsinrättning till en annan. Där- emot skall båda sjukvårdsinrättningarna tillämpa bestämmelserna om hälso- och sjukvårdssekretess.
Uppgifter som är hemliga enligt sekretesslagen skall skyddas inte bara i förhållande till enskilda fysiska ellerjuridiska personer utan också i förhål- lande till andra myndigheter (jfr 1 kap. 3 % första stycket Seer). Bestäm- melserna om sekretess mellan olika myndigheter gäller också mellan skilda verksamhetsgrenar inom en och samma myndighet när grenarna är att anse som självständiga i förhållande till varandra.
Begreppet självständig verksamhetsgren är inte definierat en gång för alla för hela det statliga och kommunala verksamhetsområdet. Innebörden kan variera från fall till fall. Utgångspunkten vid tolkningen är att en sekretesskyddad uppgift skall hållas inom en så snäv personkrets som möjligt. När begreppet skall tolkas får ledning hämtas av flera olika om- ständigheter. Bl.a. bör man granska om den aktuella myndigheten är uppdelad på skilda organisatoriska enheter och om enheterna får vidta faktiska åtgärder självständigt och på eget ansvar (jfr KU 1979/80137 s. 12 f). Det har rätt en viss tveksamhet om vad som avses med en självständig
verksamhetsgren inom hälso- och sjukvården. Socialstyrelsen tycks mena att hela hälso- och sjukvårdsverksamheten på ett sjukhus utgör en själv- ständig verksamhetsgren (jfr Allmänna råd från socialstyrelsen 1982:4 s. 29). Enligt en mera restriktiv tolkning hävdas att de olika klinikerna på ett sjukhus i regel får anses som självständiga verksamhetsgrenar (jfr t.ex. Norström-Sverne, Offentlighet och sekretess i hälso- och sjukvården, 1981, s. 87, jfr emellertid också JO Tor Svernes beslut den 24 oktober 1985 med dnr 2806-1984). Uppfattningen att kliniken skall betraktas som en självständig verksamhetsgren har fått stöd av journalutredningen Gfr jour- nalutredningens betänkande (SOU 1984: 73) Patientjournalen, s. 77). Bland de remissinstanser som anslöt sig till journalutredningens bedöm- ning var DOK (jfr bilaga 5). DOK återkommer i det följande till frågan om kliniken eller motsvarande basenhet utgör en självständig verksamhets- gren inom hälso— och sjukvården i sekretesslagens mening (se avsnitt 6.4.2 under rubriken Patientuppgifterna är sekretesskyddade).
Bestämmelserna om att en myndighet inte får lämna ut hemliga uppgifter till en annan myndighet var en nyhet jämfört med vad som gällde enligt äldre sekretesslagstiftning. Den skärpning som har inträtt i synen på ett utbyte av hemliga uppgifter mellan myndigheter skall bl. a. ses mot bak- grund av den ökande användningen av ADB-stöd inom det allmännas verksamhet. Utnyttjandet av datorer har på ett revolutionerande sätt för- bättrat myndigheternas praktiska möjligheter att byta stora informations- mängder med varandra. Det finns en tendens hos myndigheterna att upp- fatta informationen som en gemensam resurs. Lagstiftaren var medveten om detta förhållande och insåg att informationsutbytet kunde vara inte bara till fördel utan också till nackdel för den enskilde. En av lagstiftarens utgångspunkter var därför att ett fullgott integritetsskydd krävde att sekre- tesskyddad information inte lämnades vidare till någon verksamhet utanför den där informationen hade inhämtats (jfr prop. 1979/80: 2, del A, s. 90 och KU 1979/80z37, s. 12).
Samtidigt var lagstiftaren emellertid medveten om att intresset av att skydda den personliga integriteten kunde komma i konflikt med andra allmänna och enskilda intressen, t. ex. intresset av att myndigheter samar- betar och bistår varandra för att bekämpa brottslighet (jfr prop. 1979/80: 2, del A, 5. 89 och 327). Naturligtvis kan också intresset av ett starkt skydd för den personliga integriteten stå i strid med intresset av en effektiv forskning inom hälso- och sjukvårdens område.
För att lösa olika intressekonflikter innehåller sekretesslagen därför inte bara bestämmelser om sekretess utan också flera sekretessbrytande regler.
DOK återkommer i det följande till några av de sekretessbrytande reg- lerna. Men först skall vi beskriva bestämmelserna om hälso- och sjuk- vårdssekretess.
Hälso— och sjukvårdssekretessen
Sekretessen inom hälso- och sjukvården är sträng jämfört med den sekre- tess som gäller inom de flesta andra statliga och kommunala verksamhets- områden. Skälen till att hälso- och sjukvårdssekretessen är så rigorös har redan antytts (se avsnitt 6.2.1).
Bestämmelserna om sekretess på den allmänna hälso- och sjukvårdens område finns i 7 kap. 1—3 åå och 6 & Seer. Sekretessbestämmelser för den hälso— och sjukvård som bedrivs i enskild regi finns i lagen (1980: 11) om tillsyn över hälso- och sjukvårdspersonalen m.fl. DOK:s beskrivning av sekretessen inom hälso- och sjukvården kommer i huvudsak att begrän- sa sig till den centrala bestämmelsen i 7 kap. l 5 Seer, eftersom de övriga bestämmelserna är av mindre intresse i detta sammanhang.
Enligt 7 kap. 1 & första stycket Seer gäller sekretess inom den all- männa hälso- och sjukvården för uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon honom närstående lider men. Vidare gäller under samma förutsättningar sekretess i annan medicinsk verksam- het och i verksamhet som avser omsorger om vissa psykiskt utvecklings- störda.
Sekretess gäller enligt 7 kap. l å andra stycket Seer också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård. Exempel på sådan särskild tillsyn är socialstyrelsens verksamhet när någon har ansökt om att en patientjournal skall förstöras enligt 13 % patientjournallagen (1985: 562).
Hälso- och sjukvårdssekretessen gäller den hälso- och sjukvård som bedrivs av det allmänna på sjukhus och andra vårdinrättningar. Skyddet omfattar också hälso- och sjukvården vid inrättningar för öppen vård, distriktsläkarmottagningar, folktandvårdskliniker och liknande. Bestäm- melserna om hälso- och sjukvårdssekretess är tillämpliga på sådan hälso- vård, sjukvård och annan medicinsk verksamhet som är individuellt inrik- tad, dvs. framför allt vård och behandling av patienter. Utanför paragra- fens tillämpningsområde faller däremot verksamhet av mera generell ka- raktär, t.ex. miljö- och samhällsmedicin och annan förebyggande hälso- vård. Den verksamhet som bedrivs hos socialstyrelsen eller en landstings- kommun faller endast i begränsad utsträckning under hälso- och sjukvårds- sekretessens tillämpningsområde (jfr dock t. ex. 7 kap. l å andra stycket och 13 kap. 3 5 Seer). Vad som här och i fortsättningen sägs om lands- tingskommunerna gäller också de kommuner som inte ingår i en lands- tingskommun, dvs. Göteborgs, Malmö och Gotlands kommuner som är ansvariga för den offentliga hälso- och sjukvården inom sina resp. områ- den.
Hälso- och sjukvårdssekretessen skall iakttas av de personer som, när de anställda hos en myndighet inom den allmänna hälso- och sjukvården, har fått kännedom om sekretessbelagda uppgifter. Sekretessbestämmel- serna gäller också uppdragstagare hos en sådan myndighet om uppdragsta- garna — t. ex. konsultläkare på ett sjukhus — har en sådan anknytning till myndigheten att de kan sägas delta i myndighetens verksamhet (jfr ] kap. 6
% Seer).
Det framgår av förarbetena till sekretesslagen (jfr prop. 1979/80:2, del A, 5. 165) att lagstiftaren ansåg att det inte fanns något behov av att i lagtexten närmare definiera vad som avses med begreppet hälso- och sjukvård. I motiven konstaterades dock att till det centrala området hör den slutna och öppna sjukvård som regleras i den då gällande sjukvårdsla-
gen (1962: 242). Till hälso-och sjukvård räknades också den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barna- vårdscentralerna och inom den psykiska barn- och ungdomsvården. Även skolhälsovården, studerandehälsovården, företagshälsovården och tand- vården ansågs höra till hälso- och sjukvård i sekretesslagens mening. Vidare konstaterades att hälso— och sjukvård inte behöver bedrivas i orga- nisatoriskt självständiga former utan kan vara ett inslag i annan förvalt- ning, t.ex. hälsovården inom skolväsendet. Bestämmelserna om hälso- och sjukvårdssekretess är då tillämpliga på den del av myndighetens verk- samhet som räknas som hälso- och sjukvård.
Sjukvårdslagen (1962: 242) är numera ersatt av HSL (se avsnitt 6.2.1). Med hälso- och sjukvård i HSL avses enligt 1 & åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Enligt samma paragraf räknas också sjuktransporter till hälso- och sjukvård. För tand- vård finns det däremot bestämmelser i annan lagstiftning. Det torde såle- des inte råda full överensstämmelse mellan sekretesslagen och HSL om vad som avses med hälso- och sjukvård. *
Vad som åsyftas med begreppet annan medicinsk verksamhet framgår genom en exemplifiering i 7 kap. l & första stycket Seer. Där nämns rättsmedicinsk och rättspsykiatrisk undersökning, insemination, faststäl- lande av könstillhörighet, abort, sterilisering, kastrering och åtgärder mot smittsamma sjukdomar.
Föremålet för hälso- och sjukvårdssekretessen är uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden. Skyddet omfattar upp- gifter om den vårdbehövande och med honom jämställda personer. Skyd- det gäller också sådana uppgifter som en vårdbehövande eller någon med honom jämställd person har lämnat om andra personer, t.ex. om när- stående, grannar och arbetskamrater (jfr prop. 1979/80: 2, del A, s. 167).
Det råder knappast någon tvekan om vad som avses med begreppet hälsotillstånd . Frågan har därför inte diskuterats närmare i motiven till sekretesslagen. Uttrycket personliga förhållanden har däremot utvecklats något i förarbetena (jfr prop. 1979/80: 2, del A, 5. 84). Där sägs att innebör- den får bestämmas med ledning av vanligt språkbruk. Som exempel på vad som ligger i begreppet nämns uppgifter om en enskild persons karaktär, sinnesbeskaffenhet, familjeförhållanden, namn, adress, telefonnummer, arbetsförmåga och ekonomi. Även uppgift om hälsotillstånd räknas till personliga förhållanden. Detta har emellertid av pedagogiska skäl nämnts särskilt i lagtexten till 7 kap. 1 & Seer.
Sekretess gäller således inom hälso- och sjukvården för uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden, om det inte efter en skadeprövning hos den sjukvårdsinrättning som förfogar över uppgifterna står klart att uppgifterna kan lämnas ut utan att den enskilde eller någon honom närstående lider men.
Begreppet men har fått en mycket vidsträckt innebörd och tar framför allt sikte på de olika kränkningar av den personliga integriteten som kan uppstå om uppgifterna lämnas ut (jfr prop. 1979/80: 2, del A, 5. 83). Med men avses bl.a. sådant som att någon kan bli utsatt för andras missaktning, om hans personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan i många
fall anses vara tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger är den enskildes egen upplevelse. I konsekvens med detta kan även helt rättsenliga åtgärder utgöra men, t. ex. att utlämnande av uppifter om en person från en myndighet till en annan leder till att den aktuelle personen blir föremål för sluten psykiatrisk vård. Vid bedömningen av vad som utgör men finns det emellertid ett visst utrymme för att ta hänsyn till vad som enligt gängse värderingar i samhället uppfattas som men. Enbart det förhållandet att en person tycker att det är obehagligt i största allmänhet att andra vet var han bor kan t. ex. inte anses som men.
Någon definition av begreppet närstående görs inte i lagtexten. I förar- betena till sekretesslagen (jfr prop. 1979/80: 2, del A, 5. 168) konstaterades dock att det inte är nödvändigt att faktiskt släktskap föreligger för att någon skall betraktas som närstående. Skulle det t. ex. vara till men för den vårdbehövande att uppgift lämnas ut om den han sammanbor med bör uppgiften vara skyddad av sekretess.
Frågan om huruvida uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden får lämnas ut skall i första hand avgöras genom en skadeprövning. Denna bedömning skall göras av företrädare för den sjuk- vårdsinrättning (myndighet resp. självständig verksamhetsgren) som förfo- gar över uppgifterna. Vid skadeprövningen skall avgöras om den enskilde eller någon honom närstående kommer att lida men om uppgifterna lämnas ut.
Efter en skadeprövning kan uppgifter om en patients hälsotillstånd och liknande uppgifter i allmänhet lämnas ut till patientens anhöriga och nära bekanta. Uppgiftslämnande i vårdsyfte kan normalt sett också ske efter en skadeprövning. I förarbetena till sekretesslagen (jfr prop. 1979/80: 2, del A, 5. 168) slås fast att skaderekvisitet medger att uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden lämnas från en läkare till en annan. Det är också möjligt att lämna sådana uppgifter från en sjuk- vårdsinrättning till en annan. [ båda fallen krävs emellertid för att uppgif- terna skall få lämnas att mottagaren behöver dem i vårdsyfte. Vidare framgår av motiven att ett visst utrymme finns för att lämna uppgifter från en vårdsektor till en annan om syftet är att bistå en patient. Ett generellt Uppgiftslämnande mellan olika vårdsektorer torde däremot inte stå i över- ensstämmelse med gällande rätt, t. ex. från den psykiatriska till den soma- tiska vården (jfr JO 1984/85 5. 263). Till en privatpraktiserande läkare eller en företagsläkare kan uppgifter om en patient lämnas bara om de behövs i trängande fall för medicinsk behandling av den som uppgifterna gäller (jfr JO 1982/83 5. 224). Däremot medger skaderekvisitet inte att uppgifter lämnas till en läkare som begär att få uppgifterna för att fullgöra ett uppdrag som han har fått från någon annan än patienten själv, t.ex. om läkarens uppdragsgivare är den enskildes arbetsgivare.
Frågan om utlämnande av de sekretesskyddade uppgifterna är emeller- tid inte avgjord även om skadeprövningen leder till att uppgifternainte bör lämnas ut av hänsyn till den enskilde eller någon honom närstående. Det finns nämligen som DOK redan antytt andra regler som kan medföra att sekretessen viker. Vi skall nu redogöra för en del av dessa regler.
Sekretessbrytande regler m. m.
Först och främst bör regeln i 14 kap. 45 Seer nämnas. Enligt denna bestämmelse kan den enskilde helt eller delvis efterge den sekretess som gäller till förmån för honom. Detta innebär att den enskildes samtycke till ett visst Uppgiftslämnande "bryter" sekretessen. Samtycket behöver inte vara uttryckligt. Även ett tyst samtycke kan godtas. Det kan t. ex. ibland framgå av den enskildes beteende att han godtar att en hemlig uppgift lämnas ut i ett visst syfte eller till en viss mottagare.
Det finns inte något som hindrar att ett uttryckligt samtycke ges i förväg med tanke på en kommande situation. Däremot är det inte möjligt för en myndighet att mer eller mindre tvinga den enskilde att lämna ett generellt samtycke, eftersom ett sådant samtycke kan komma att sakna rättslig giltighet. Här kan också nämnas att ett samtycke alltid kan återkallas av den enskilde (jfr prop. 1979/80: 2, del A, s. 331).
Eftersom verksamheten inom hälso- och sjukvården skall bygga på respekt för patientens självbestämmande anser många att den enskildes samtycke bör föreligga i så stor utsträckning som möjligt innan sekretes- skyddade uppgifter lämnas ut från en sjukvårdsinrättning. Till dem som förordar samtyckesprincipen hör bl.a JO, journalutredningen och DOK (jfr JO 1984/85 5. 263, journalutredningens betänkande (SOU 1984:73) Patientjournalen s. 83 resp. bilaga 5 i DOK:s betänkande).
Sekretessen kan brytas också med stöd av andra bestämmelser. En sådan regel finns i 1 kap. 5 %$ Seer. Enligt denna paragraf hindrar sekre- tess inte att en myndighet lämnar ut uppgifter, t. ex. till en annan myndig- het eller en självständig verksamhetsgren inom samma myndighet, om uppgiftslämnandet är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin egen verksamhet. Bestämmelsen utgör en garanti för att en myndighet alltid skall kunna fullgöra de uppgifter myndigheten har ålagts utan hinder av den sekretess som myndigheten normalt sett kan vara bunden av. En företrädare för en myndighet kan t. ex. behöva ge en annan myndighet del av hemlig information till grund för ett remissyttrande. En representant för en myndighet kan också behöva lämna ut sekretesskyd- dade uppgifter när myndigheten har behov av att rådgöra med en utomstå- , ende expert (jfr prop. 1979/80: 2, del A, 5. 122). Bestämmelsen kan förhål- landevis ofta bli tillämplig inom hälso- och sjukvårdens område.
Sekretessen kan också brytas med stöd av 14 kap. 1 & andra meningen Seer. Enligt denna bestämmelse hindrar _inte sekretess att en uppgift lämnas ut till en annan myndighet, om en uppgiftsskyldighet följer av lag eller förordning. Bestämmelsen är tillämplig när det gäller uppgiftsläm- nande såväl mellan två myndigheter som mellan två självständiga verk- samhetsgrenar inom en och samma myndighet. I olika lagar och förord- ningar finns det ett stort antal författningsreglerade uppgiftsskyldigheter. » När det gäller uppgiftsskyldigheter på hälso- och sjukvårdens område finns en exemplifiering i prop. 1981/82: 186 s. 90. Bland uppgiftsskyldigheterna på hälso-och sjukvårdens områden kan också nämnas läkares skyldighet att enligt 2 & kungörelsen (1957: 632) om cancerregister anmäla upptäckta fall av cancer till socialstyrelsens cancerregister.
En annan sekretessbrytande regel finns i 14 kap. 2 5 första stycket 3.
Seer. Sekretessen hindrar enligt denna bestämmelse inte att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över den myndighet där uppgiften förekommer. En sjukvårdsinrättning kan t.ex. lämna ut en sekretessbelagd uppgift till socialstyrelsen, om uppgiften be- hövs i socialstyrelsens författningsreglerade tillsyn över sjukvårdsinrätt- ningen (jfr prop. 1979/80: 2, del A, s. 325). Att rätten att lämna ut uppgifter i själva verket är en uppgiftsskyldighet framgår av 15 kap. 5 & Seer. Av bestämmelsen följer att en myndighet på begäran av en annan myndighet skall lämna ut uppgift som den förfogar över om det inte föreligger hinder mot uppgiftslämnandet på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång (jfr prop. 1983/84: 142 s. 38). Att hälso- och sjukvårdssekretessen följer med uppgifterna till socialstyrelsen när uppgifterna behövs där för tillsyn framgår av 7 kap. l 5 andra stycket och 13 kap. 1 & Seer.
Sekretessen kan också brytas genom den s.k. generalklausulen i 14 kap. 3 5 Seer. Den innebär att sekretessbelagda uppgifter får lämnas till en annan myndighet, om det vid en prövning hos den myndighet som förfogar över uppgifterna framstår som uppenbart att intresset av att uppgifterna lämnas ut har företräde framför det intresse som sekretessen skall skydda. Generalklausulen får tillämpas inom flertalet statliga och kommunala verk- samhetsområden. Inom vissa verksamhetsområden får emellertid hemliga uppgifter inte lämnas ut efter en sådan intresseavvägning. Till de undan- tagna områdena hör t.ex. de områden där hälso- och sjukvårdssekretess och statistiksekretess (9 kap. 4 5 Seer) gäller. Sekretesskyddet blir alltså särskilt starkt inom de undantagna verksamhetsområdena.
Det finns ytterligare några sekretessbrytande regler i sekretesslagen, t.ex. i 14 kap. 2 och 8 åå.
I 14 kap. 2 & Seer finns, utöver de nyss nämnda bestämmelserna om uppgiftslämnande vid tillsyn, bestämmelser bl. a. om uppgiftslämnande vid brott. När det gäller uppgiftslämnande från en myndighet inom hälso- och sjukvården vid misstanke om brott kan hänvisas till prop. 1983/84: 142.
Enligt 14 kap. 8 & Seer har regeringen vissa möjligheter att ge dispens från en bestämmelse om sekretess, t. ex. när hemliga uppgifter behövs för ett angeläget forskningsprojekt. Någon närmare redogörelse för dessa regler lämnas inte här, eftersom de är av mindre intresse i detta samman- hang.
6.2.3. Datalagen
I datalagen (1973: 289) finns bestämmelser som skall iakttas av den som vill inrätta och föra ett personregister med hjälp av ADB, t. ex. ett ADB-ba- serat patientregister. Syftet med bestämmelserna i datalagen är att hindra att inrättande och förande av personregister medför otillbörligt intrång i den personliga integriteten. Datainspektionen har till uppgift att se till att datalagens regler efterlevs. Inspektionen prövar också frågor om licens och tillstånd för personregister.
Enligt 2 5 första stycket datalagen får ett ADB-baserat personregister inrättas och föras bara av en registeransvarig som har fått licens av datain- spektionen. Med registeransvarig avses enligt l & datalagen den för vars
verksamhet ett personregister förs, om han förfogar över registret. Be- stämmelsen innebär bl. a. att servicebyråer och andra som endast utför den tekniska databehandlingen inte betraktas som registeransvariga. För att betraktas som registeransvarig måste den som för registret också ha rätt att förfoga över registret, dvs. han måste ha befogenhet inte bara att överföra innehållet till läsbar form utan också att påverka innehållet i registret.
För särskilt integritetskänsliga personregister räcker det inte med licens. För att få inrätta och föra sådana register fordras ett särskilt tillstånd av datainspektionen. Registren får inrättas och föras bara om det kan ske utan risk för otillbörligt intrång i enskildas personliga integritet.
Tillstånd krävs enligt 2 & andra stycket datalagen för personregister som skall innehålla uppgifter om t.ex. sjukdomar, brott och straff, sexualitet, ras, politisk eller religiös uppfattning eller register som skall innehålla omdömen och värderingar.
Tillstånd krävs också enligt samma paragraf för register som skall omfat- ta uppgifter om personer utan naturlig anknytning till den registeransvari- ge, dvs. uppgifter om personer utan sådan anknytning som följer av t. ex. medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande.
Av samma paragraf följer vidare att samkörning av olika personregister inte får ske utan stöd av författning, datainspektionens tillstånd eller de registrerades medgivande.
Det finns vissa undantag från tillståndsplikten. Bl. a. behövs enligt 2 a & datalagen inte tillstånd för s. k. statsmaktsregister, dvs. register vars inrät- tande har beslutats av riksdagen eller regeringen.
Enligt 2 a & andra stycket 2. datalagen behövs inte heller tillstånd om en myndighet inom hälso- och sjukvården för vård- eller behandlingsändamål inrättar och för ett personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt.
När tillstånd lämnas för ett register skall datainspektionen enligt 5 % datalagen också meddela en föreskrift om för vilket ändamål registret får användas.
Om det behövs för att förebygga risk för otillbörligt intrång i en enskilds personliga integritet skall datainspektionen också enligt 6 % datalagen med- dela föreskrifter om inhämtande av uppgifter, vilka personuppgifter som får ingå, utförandet av den automatiska databehandlingen, den tekniska utrustningen, de bearbetningar som får göras, underrättelse till berörda personer, utlämnande och annan användning, bevarande och gallring samt om kontroll och säkerhet.
Den registeransvarige skall enligt 7 & datalagen se till att personregistret inrättas och förs så att inte otillbörligt intrång i de registrerades personliga integritet uppkommer. Den ansvarige skall särskilt se till att registret förs för ett bestämt ändamål, att inte andra uppgifter registreras än som står i överensstämmelse med registrets ändamål samt att uppgifter inte samlas in, lämnas ut eller används annat än i överensstämmelse med registrets ändamål eller vad som gäller enligt författning eller i enlighet med den registrerades medgivande. Vidare skall den registeransvarige se till att uppgifterna i registret skyddas mot bl.a. otillåten ändring eller spridning.
Enligt 15 & datalagen skall datainspektionen utöva tillsyn över att auto-
matisk databehandling inte medför otillbörligt intrång i personlig integritet.
Kan skydd mot otillbörligt intrång i den personliga integriteten inte åstadkommas på annat sätt, får datainspektionen enligt 18 & datalagen förbjuda fortsatt förande av personregister eller återkalla meddelat till- stånd. Regeln gäller inte för statsmaktsregister.
6.3. Personregister med patientuppgifter
6.3.1. Inledning
Huvudfrågan i den här delen av betänkandet som avser patientuppgifter i personregister är som DOK nämnde inledningsvis (se avsnitt 6.1) om detär förenligt med gällande rätt att företrädare för en sjukvårdsinrättning läm- nar ut uppgifter om en patients hälsotillstånd eller andra personliga förhål- landen till personal på regional och central nivå inom hälso- och sjukvårds- administrationen. Uppgifterna förs där in och lagras i landstingens resp. socialstyrelsens ADB—stödda personregister.
Innan vi går in på våra överväganden och förslag skall vi lämna en översiktlig redogörelse för de personregister med uppgifter om patienter som förs med hjälp av ADB på lokal, regional och central nivå inom hälso- och sjukvårdsadministrationen. Beskrivningen bygger i huvudsak på upp- gifter lämnade av representanter för socialstyrelsen, Stockholms läns landsting, Älvsborgs läns landsting och Huddinge sjukhus. Redogörelsen grundas också på vad som kom fram vid den hearing som DOK anordnade den 5 december 1985 om integritetsskyddet inom hälso- och sjukvården. Material har även hämtats ur journalutredningens betänkande (SOU 1984: 73) Patientjournalen.
Det torde finnas närmare 300 ADB-stödda personregister som innehåller uppgifter om patienter. Datoriseringens omfattning och utbyggnadstakten varierar mellan olika delar av riket. Registren finns på lokal, regional och central nivå inom hälso- och sjukvårdsadministrationen. Gränsen mellan lokal och regional nivå är ofta flytande. Däremot finns det som regel en klar gräns mellan register på lokal/regional nivå resp. register på central nivå.
Uppgifterna om patienterna inhämtas ofta på lokal nivå, t.ex. när en patient söker vård eller behandling vid en klinik. Uppgifterna gäller patien- tens hälsotillstånd och andra personliga förhållanden. En del av uppgif- terna stannar i klinikens manuella eller ADB-stödda register, medan andra uppgifter förs vidare till register hos landstinget och/eller socialstyrelsen.
Det finns ADB-register både inom öppen och sluten vård och för såväl somatisk som psykiatrisk vård.
Antalet registrerade kan variera från några hundra personer i ett register till 3,5 miljoner personer i ett annat.
Ett register kan användas för ett eller flera syften. De vanligaste ända- målen är vård och behandling, statistik, forskning, tillsyn och administra- tion. Ibland inrättas och förs ett register för ett speciellt ändamål, t. ex. utvärdering av ett visst behandlingsprogram. Det är också vanligt att ett register används för flera olika syften, t. ex. statistik och administration.
.u... _— m.-.-..—.-
6.3.2. De lokala och regionala registren
Det är svårt att få en entydig bild av datoriseringen inom de olika lands- tingsområdena. Förhållandena varierar från ett landsting till ett annat. Dessutom finns det olika lösningar beträffande registeransvar, tillgång till uppgifterna, terminalåtkomst till uppgifterna etc.
De register som administreras centralt inom ett landsting kan grovt hänföras till medicinsk service, vårdadministration och hälsokontroller.
Datorer har använts sedan slutet av 1950-talet. Tekniken utnyttjades då mest på laboratorier för att samla in signaler och bearbeta dessa till kända mätvärden. Denna typ av databehandling, signalbehandling, har utnyttjats också inom t.ex. intensivvård, tolkning av EKG osv. Det är på detta område inom sjukvården som datorerna har använts mest. Syftet med medicinska serviceregister är även att administrera beställningar hos rönt- genavdelningar och laboratorier. Systemen beräknar, analyserar och sam- manställer undersökningsresultaten samt lagrar och skriver ut svarsrap- porter över dessa. Registren används också för verksamhetsuppföljning eller statistik och innehåller vanligen uppgifter om patientens person, diagnos, medicinska analysvärden och tolkningsresultat e. d. ADB-system för blodcentraler används för kallelser av de registrerade blodgivarna och för beredskapsändmål.
Två tredjedelar av alla register används för vårdadministration, i sluten eller öppen vård. I denna grupp finns register som ersätter eller komplet- terar den vanliga journalföringen, men också register för helt andra ända- mål.
När man går igenom de olika registrens ändamål får man en lång förteck- ning över avsedda användningsområden. Det är vanligt att ett register skall kunna användas för flera olika ändamål och av personer med olika arbets- uppgifter, t.ex. primärt av personal i den patientvårdande verksamheten, men också för vetenskaplig-statistisk bearbetning av t.ex. läkare med intresse för forskning samt för vårdkonsumtionsanalyser eller studier av patientflödet av bl. a. administratörer på olika nivåer inom landstinget.
Registren tillhör någon eller några av följande kategorier: 1. vård och behandling, inkl. uppföljning och kontroll av patienter, 2. samordning av vårdarbetet genom integrering av patientuppgifter, 3. administration av patientlistor, tidbokning, väntelista och schemaläggning, 4. utvärdering, statistik samt klinisk och epidemiologisk forskning, 5. vårdorganisatoriska studier t. ex. beträffande patientflöde och om vårdplatsutnyttjande, 6. ekonomisk-kamerala rutiner för utbetalning av bl. a. hemsjukvårdsbidrag, beräkning av patientavgifter, redovisning av patienters privata medel m.m., 7. adressåtkomst till arkiv och mikrofilm.
Inom de flesta landstingen finns numera väl utvecklade patientadminis- trativa system (PAS), som vanligen har samordnats med ett befolkningsre- gister för att man skall ha tillgång till uppgifter om patientens personnum- mer, namn, adress och civilstånd. Ibland lagras motsvarande uppgifter om maken eller makan. Ändringar av personuppgifterna aviseras automatiskt från folkbokföringens register.
PAS-rutinerna omfattar ofta besöksregistrering, väntelista och bokning, viss medicinsk registrering och in- och utskrivning. Från registren fram-
ställs t.ex. patientlistor som behövs på de olika avdelningarna och för hänvisningsservice hos den centrala telefonväxeln. Registren används också för produktion av patientstatistiska data och rapporter till socialsty- relsen. PAS-systemen utgör således grunden i det som numera kallas landstingens patientdatabaser.
När det gäller landstingens patientdatabaser är det vanligt att landstinget betraktas som registeransvarig myndighet. I vissa landsting eller motsva- rande är hälso-och sjukvårdsnämnden registeransvarig. Tillstånd enligt datalagen finns enligt uppgift från datainspektionen för de register som är inrättade före halvårsskiftet 1982. De av landstingens databaser som inrät- tats efter denna tidpunkt har i regel inte tillstånd, eftersom registren har betraktats som s.k. vård- och behandlingsregister och därmed inte till- ståndspliktiga efter en lagändring som trädde i kraft den ljuli 1982 (jfr 2 a & tredje stycket 2. datalagen). Uppgifterna i landstingens patientdata- baser har ursprungligen inhämtats i huvudsak från den vårdande kliniken eller motsvarande. Generellt sett kan man säga att uppgifterna används för vård och behandling, men också för forskning och statistisk verksamhet. Vidare används uppgifterna för tillsyn och administration. Används regis- tren för andra ändamål än vård och behandling krävs alltså tillstånd i allmänhet.
Databasen kan antingen bestå av ett huvudregister eller av flera sins- emellan hopknutna ADB-register (informationssystem).
I Stockholms läns landsting har systemet redan byggts ut så långt att det i princip omfattar alla vårdinrättningar. Vid de olika sjukvårdsinrättningar- na förs uppgifter in i det s.k. aktuella patientregistret, som innehåller uppgifter om en patient fr. o. m. inskrivningsdagen t.o.m. utskrivningsda- gen. I allmänhet finns det ett aktuellt patientregister för varje sjukvårdsin- rättning. Det aktuella patientregistret samkörs med ett befolkningsregister.
När patienten har skrivits ut förs uppgifter om patienten över till det s.k. huvudregistret som är gemensamt för landstingsområdet. Till huvudregis- tret är ungefär 800 terminaler anslutna.
Från huvudregistret lämnas uppgifter om patienten ut åt två håll. Upp- gifterna förs över till landstingets patientdatabas. Dessutom kan uppgif- terna föras över till det aktuella patientregistret om patienten på nytt tas in för vård vid någon sjukvårdsinrättning inom landstingsområdet.
Från landstingets patientdatabas lämnas uppgifter till olika ADB-stödda register hos socialstyrelsen.
Registeransvarig myndighet för de aktuella patientregistren, personupp- giftsregistret, huvudregistret och landstingets patientdatabas är Stock- holms läns landstings hälso— och sjukvårdsnämnd.
Informationssystemet inom ett landsting används för samordning. Målet är att snabbt få en sammanfattning av patientens tidigare vårdkontakter inom hela landstingsområdet. Huvudregistret innehåller därför personupp- gifter, viktigare medicinska data, vårdtillfällesöversikt, diagnoser, vissa undersöknings-och analysresultat under begränsad tid samt vårdplane- ringsupplysning.
I socialstyrelsens allmänna råd beträffande landstingens patientdata- baser (SOSFS l983:45) finns en rekommendation om minimiinnehållet i landstingens patientdatabaser. Databaserna bör innehålla uppgift om 1.
sjukhus, 2. klinik eller avdelning, 3. sekelsiffra, 4. personnummer, 5. kön, 6. kyrkobokföringskommun, 7. huruvida vården av den enskilde var plane- rad, 8. avtalstyp, 9. inskrivningsdatum, 10. inskrivningssätt, 11. vård utan samtycke, 12. utskrivningsdatum, 13. utskrivningssätt, 14. diagnoser, 15. s.k. E-kod och 16. operationer.
Uppgift om avtalstyp anger om vårdersättningen regleras t. ex. genom utomlänsavtal, regionsjukvårdsavtal eller något annat avtal mellan sjuk- vårdshuvudmännen.
Uppgift om inskrivningssätt visar om patienten kommer från ett annat sjukhus resp. från en annan klinik, serviceboende med helinackordering eller från annat boende.
Uppgiften vård utan samtycke anger om patienten är inskriven med stöd av lagen (1966: 293) om beredande av sluten psykiatrisk vård i vissa fall (LSPV), om patienten senare under vårdtiden har varit omhändertagen med stöd av LSPV eller om han inte har varit omhändertagen med stöd av LSPV.
Uppgift om utskrivningssätt lämnar besked om huruvida patienten har förts över till ett annat sjukhus resp. en annan klinik, serviceboende eller till annat boende eller om patienten är avliden.
Uppgift om huvuddiagnos anger den sjukdom eller skada som har varit den huvudsakliga orsaken till patientens sjukhusvistelse. Plats finns för att registrera ytterligare sju diagnoser.
Uppgift om E-kod anger den yttre orsaken till en skada eller förgiftning. Enligt socialstyrelsens rekommendation bör utrymme också finnas för att ange upp till tio operationer som har utförts på patienten.
Det tredje verksamhetsområdet där patientregister utnyttjas är i sam- band med allmänna eller riktade hälsokontroller. Vanligast är register för gynekologisk hälsokontroll. Registren har som huvudsyfte att vara till hjälp vid administrationen av verksamheten, t. ex. när kallelser, svarsbrev och besökslistor skall tas fram. Registren används också vid utvärdering av analyssvar för klinisk uppföljning av positiva fall. Registren ersätter ”vanlig” journalföring för alla individer med ”normalfynd" och används dessutom till utvärdering, forskning och årlig statistik.
De hittills nämnda huvudtyperna av patientregister utnyttjas i stor ut- sträckning även för vetenskapligt arbete trots att den primära avsikten med dem är en annan. Vid sidan om den löpande vårdverksamheten finns också, som ett fjärde verksamhetsområde, register som enbart förs i sam- band med kliniskforskning. Dessa kan antingen vara helt lokala eller 5. k. multicenterregister, dvs. register för ett visst projekt som utförs i samarbe- te mellan flera kliniker på olika sjukhus. Registerinnehållet varierar givet- vis med forskningsprojektets inriktning och kan t. ex. omfatta behandlings- uppgifter som behövs för utvärdering av försök med nya metoder, appara- ter eller läkemedel.
6.3.3. De centrala registren
Socialstyrelsen har inrättat och för ett femtontal ADB-stödda personregis- ter med olika uppgifter om patienter. Bland dessa register kan nämnas 1. cancerregistret, 2. cancer-miljöregistret, 3. missbildningsregistret,
4. registret över personer födda den 5, 15 eller 25 och som varit inlagda på sjukhus för kroppssjukvård, 5. registret över personer som varit inlagda på sjukhus för kroppssjukvård, 6. födelseregistret, 7. registret över kvinnor som har genomgått gynekologisk hälsoundersökning i landstingets regi, 8. registret över personer som vårdats på sjukhus för psykiatrisk vård, 9. register över vårdade enligt lagen (1966: 293) om beredande av sluten psykiatrisk vård i vissa fall (LSPV-registret), 10. registret över undersökta patienter i Värmland under tiden november och december 1982 i syfte att utreda olika miljöfaktorers betydelse för sjukvårdskonsumtion, ll. regist- ret över projekt för utvärdering av Disulfiranimplantatbehandling, 12. lä- kemedelsbiverkningsregistret och 13. registret över kvinnor i Uppsala sjukvårdsregion som har behandlats med östrogenpreparat. Cancerregistret inrättades år 1958 med stöd av kungörelsen (1957: 632) om cancerregister och innehåller numera ungefär 800000 registrerade per- soner. Registret betraktas som ett s.k. statsmaktsregister, dvs. registret anses inrättat genom beslut av riksdag eller regering. Socialstyrelsen är registeransvarig myndighet. Registret innehåller uppgifter om samtliga cancerfall som har konstaterats i Sverige. Registret ger information om cancersjukdomarnas förekomst, utbredning och utveckling. Cancerregis- tret tjänar framför allt som ett basunderlag för den kliniska och epidemiolo- giska forskningen. Vissa läkare är enligt 2 & kungörelsen (1957z632) om cancerregister skyldiga att lämna uppgifter om inträffade cancerfall till socialstyrelsen som låter föra in uppgifterna i cancerregistret.
Cancer-miljöregistret inrättades år 1978 och innehåller ungefär 700000 registrerade personer. För registret finns tillstånd enligt datalagen. Regis- teransvarig är socialstyrelsen. Registret är resultatet av en samkörning av cancerregistret och statistiska centralbyråns register för 1960 års folk- och bostadsräkning. Uppgifterna från statistiska centralbyråns folk- och bo- stadsräkning lämnas ut efter en skadeprövning enligt 9 kap. 4 Si Seer. Den s.k. statistiksekretessen anses vika för uppgiftslämnandet till forsk- ningsregistret efter en skadeprövning. Till cancerfallen, som omfattar tiden fr.o.m. 1961, har kopplats uppgift om bl. a. yrke, näringsgren och hemort år 1960. Registret används för forskning om sambanden mellan cancersjuk- domar och miljöfaktorer.
Medicinska födelseregistret inrättades år 1973 med stöd av ett beslut av regeringen den 15 december 1972, dvs. samma beslut som gäller för miss- bildningsregistret.Registret betraktas som ett statsmaktsregister. Medi- cinska födelseregistret innehåller ungefär 1 miljon registrerade personer. I registret finns uppgifter om födda barn och deras mödrar. Registret an- vänds för forskning om sjuklighet under den s. k. nyföddhetsperioden där sjukligheten är satt i relation till olika bakgrundsfaktorer som främst avser förloppet under graviditeten och förlossningen. Uppgifterna lämnas till socialstyrelsen från de olika förlossningsavdelningarna sedan barnets mo- der har informerats om upgiftslämnandet.
Missbildningsregistret inrättades år 1964 och förs sedan 1973 med stöd av ett beslut av regeringen den 15 december 1972 och innehåller ungefär 40000 registrerade personer. Registret betraktas som ett statsmaktsregis- ter. I registret finns uppgifter om barn som har fötts med någon missbild- ning. Missbildningsregistret används inom forskningen som ett varnings-
system för att man skall kunna upptäcka förändringar i frekvensmönstret av missbildade barn. Uppgifterna lämnas till socialstyrelsen av den läkare som har upptäckt missbildningen.
Medicinska födelseregistret och missbildningsregistret slogs samman år 1980 och går nu under beteckningen medicinska födelseregistret inklusi- ve missbildningsregistret. För registret finns tillstånd enligt datalagen. Datainspektionen har bl. a. utfärdat en föreskrift som innebär att barnets moder skall informeras innan uppgifterna lämnas till registret.
Kroppssjukvårdsregistren inrättades år 1964 resp. 1978. Statsmakternas stöd anses finnas för registren genom uttalanden i prop. 1981/82: 97 (5.93), prop. 1983/84: 100, bilaga 7 (s. 72 f) och i två regleringsbrev den 16juni 1983 resp. 20juni 1984. För de båda registren finns tillstånd enligt datala- gen. Registren innehåller uppgifter om ungefär 300000 resp. 3,5 miljoner personer som har varit intagna på sjukhus för kroppssjukvård. Registren används för klinisk och epidemiologisk forskning och för statistikverksam- het. Uppgifterna till dessa register inhämtas till socialstyrelsen från lands- tingens patientdatabaser. Avsikten är att registren inte skall uppdateras i fortsättningen om socialstyrelsen får tillstånd enligt datalagen att inrätta det s.k. slutenvårdsregistret för riket. Vi återkommer till en beskrivning av slutenvårdsregistret i det följande.
Registret över viss psykiatrisk vård inrättades år 1962. För registret finns tillstånd enligt datalagen. Registret innehåller enligt en grov uppskattning uppgifter om ungefär 500 000—600 000 personer. I registret finns uppgifter om personer som är eller har varit intagna på en psykiatrisk vårdinrättning.
Registret används för klinisk och epidemiologisk forskning samt för statistisk verksamhet. Uppgifterna har hittills inhämtats till socialstyrelsen från psykiatriska vårdenheter och från vissa landstings patientdatabaser. Avsikten är att registret inte skall uppdateras i fortsättningen om socialsty- relsen får tillstånd enligt datalagen att inrätta det s.k. slutenvårdsregistret för riket.
LSPV-registret inrättades år 1983. För registret finns tillstånd enligt datalagen. Registret innehåller uppgifter om ungefär 20000 personer. Upp- gifterna avser personer som varit föremål för vård enligt lagen om bere- dande av sluten psykiatrisk vård i vissa fall. Registret används för tillsyn över vården av de enskilda personerna. Uppgifterna lämnas in till social- styrelsen från den för LSPV-vården ansvarige läkaren.
Läkemedelsbiverkningsregistret inrättades år 1965. För registret finns tillstånd enligt datalagen. Registret innehåller uppgifter om ungefär 30000 personer. I registret finns uppgifter om inrapporterade fall av nya eller allvarliga biverkningar av läkemedel. Registret används för forskning om läkemedelsbiverkningar. Uppgifterna inhämtas till socialstyrelsen från de läkare och tandläkare som har upptäckt att ett läkemedel kan ha vissa biverkningar.
Socialstyrelsen för ytterligare några ADB-stödda register sotn innehåller uppgifter om patienter. Gemensamt för dessa register är att uppgifterna avser en begränsad period och att registren inte längre uppdateras. Bland dessa register kan nämnas 1. registret över kvinnor som har genomgått gynekologisk undersökning i landstingets regi under åren 1967—1975, 2. registret över undersökta patienter i Värmland under tiden november
och december 1982 i syfte att utreda olika miljöfaktorers betydelse för sjukvårdskonsumtion, 3. registret över projekt för utvärdering aw Disulfi- ranimplantatbehandling på ungefär 200 personer år 1981 och 4. registret över ungefär 23 000 kvinnor i Uppsala sjukvårdsregion som har behandlats med östrogenpreparat under åren 1977—1980.
Det förefaller inte som om något personregister med patientiuppgifter förs i strid med statsmakternas intentioner. T. ex. diskuteras anvämdningen av landstingens patientdatabaser, cancerregistret, missbildningsregistret och medicinska födelseregistret i samband med att riksdagen belhandlade regeringens proposition om socialstyrelsens uppgifter och organisation (jfr prop. l979/80:6 s. 67 ff, SOU 1979/80145 s. 27 f och rskr. 1979/80: 386). Däremot tycks man ha förbisett att det saknas stöd för att lämna ut de sekretesskyddade uppgifterna till flera av registren.
6.3.4. Slutenvårdsregistretför riket
Det planerade slutenvårdsregistret för riket skall inrättas och föras av socialstyrelsen. Avsikten är att slutenvårdsregistret skall ersätta de två förhållandevis stora registren över patienter intagna för kroppssjukvård resp. psykiatrisk vård.
Registret skall innehålla uppgifter om samtliga patienter som under ett kalenderår har skrivits ut från sluten somatisk och/eller psykiatrisk vård. Enligt beräkningarna kommer mellan 1— 1,5 miljoner människor att samti- digt vara registrerade i slutenvårdsregistret. Uppgifterna i registret avser bl.a. in- och utskrivningsdatum, den registrerades huvuddiagnos, ytterli- gare högst fem diagnoser, läkemedelsbiverkningar som har medfört behov av vård, yttre orsaker till skador och vårdtid. Uppgifterna i registret skall huvudsakligen inhämtas från landstingens patientdatabaser. Avsikten är att uppgifterna i registret skall avidentifieras en gång om året. Det bör också nämnas att registret enligt uppgift från socialstyrelsen inte skall innehålla någon uppgift som visar att en patient har varit omhändertagen med stöd av LSPV, dvs. har vårdats utan samtycke.
Socialstyrelsen vill använda registret för fem olika ändamål. Dessa är !. framställning av statistik, t.ex. sambandsanalyser av sjukdom och sjuk- vårdskonsumtion i relation till miljö, socio-ekonomiska grupper, geogra- fisk spridning och förändringar över tiden i vårdpanoramat samt årliga statistiska sammanställningar, 2. underlag för klinisk och epidemiologisk forskning inom sjukvårdsområdet, 3. återföring av uppgifter om utomläns- vårdade till resp. sjukvårdshuvudman, 4. tillsyn över sluten psykiatrisk vård och 5. underlag för speciella studier avseende registrets kvalitet.
Socialstyrelsen anser sig ha statsmakternas stöd för att inrätta och föra registret, eftersom regeringen i prop. 1984/85: 181 angående utvecklings- linjer för hälso- och sjukvården m.m. (se 5. 127 f) har tagit upp frågan om hälso- och sjukvårdsstatistik.
Av propositionen framgår att socialstyrelsen skall ta fram underlag för ett hälsopolitiskt handlingsprogram. I propositionen framhölls vikten av att det finns en adekvat hälso-och sjukvårdsstatistik att tillgå. Regeringen föreslog därför att en s.k. folkhälsorapport skall publiceras vart tredje år. Den skall innehålla beskrivningar av bl. a. levnadsvanor av betydelse för
hälsan samt hälsorisker, sjuklighet och dödlighet som finns bland befolk- ningen i olika hänseenden. Vidare skall folkhälsorapporten ge en helhets- bild av hälsoutvecklingen. I propositionen underströks vikten av att en sådan rapport inte begränsas till tabellariska redovisningar utan att den också skall belysa utvecklingslinjer och innehålla en analys av förändring- arnas innebörd och orsaker. Vid sidan av hälsorapporten skall socialstyrel- sen också redovisa årliga statistiska sammanställningar.
I propositionen (se 5. 128 f) hänvisades också till att samtliga landsting från år 1984 driver sina patientdatabaser på ett sådant sätt att dessa utan svårighet med hjälp av ADB-teknik kan sammanställas till ett nationellt täckande diagnosregister för den slutna vården. Det framhölls vidare att det är väsentligt att uppgifter om sjuklighet m. ni. kan bearbetas för att man skall få fram statistik som är av betydelse bl.a. i forsknings-, hälso- och ekonomiska sammanhang.
I propositionen uppmärksammades dessutom att journalutredningen har påtalat att den rättsliga regleringen av tillgängligheten av uppgifter ur landstingens patientdatabaser är oklar. Detta förhållande hade också bl. a. datainspektionen och DOK understrukit i sina remissvar över betänkan- det. Socialstyrelsens möjligheter att få del av uppgifter ur patientdataba- serna borde därför enligt det föredragande statsrådets uppfattning regleras.
I propositionen aviserades att frågan skulle lämnas över till DOK. I avvaktan på DOK:s förslag var det dock enligt föredraganden angeläget att socialstyrelsen fortsatte arbetet med uppbyggnaden av ett system för den centrala hanteringen av material ur landstingens patientdatabaser. Därvid borde socialstyrelsen i möjligaste mån begränsa antalet personrelaterade uppgifter med hänsyn till den enskildes personliga integritet.
Riksdagen ställde sig bakom regeringens förslag (jfr SoU 1984/85: 28 och rskr. 1984/85:400).
Datainspektionen har genom ett beslut den 26 augusti 1985 (jfr dnr 1534—85) givit socialstyrelsen tillstånd enligt datalagen att inrätta och föra slutenvårdsregistret för riket. Beslutet fattades av datainspektionens sty- relse. I styrelsens sammanträde deltog generaldirektören Jan Freese, ord- förande, ledamöterna Gerd Engman, Gunnar Hökmark, Kurt Ove Johans- son, Erna Möller, Olle Nilsson, Åke Polstam, Per-Gunnar Vinge, Birgitta Frejhagen och Kerstin Gustafsson samt ersättaren Lennart Nordström. Därjämte var närvarande byråchefen Nils Rydén och byrådirektören Gu- nilla Simonsson, föredragande.
JK har den 16 september 1985 överklagat datainspektionens beslut och yrkat att regeringen upphäver beslutet. Ärendet bereds f.n. inom justitie- departementet (jfr dnr 2298—85).
JK anser mot bakgrund av arten och mängden av uppgifter och då den rättsliga regleringen av utlämnande resp. inhämtande av uppgifterna till slutenvårdsregistret är i hög grad oklar att ett tillstånd mycket väl kan komma att uppfattas som ett intrång i den enskildes personliga integritet.
Med anledning av JK:s besvär har socialstyrelsen i en skrivelse den 17 oktober 1985 till regeringen upplyst att socialstyrelsen inte avser att inrätta och föra slutenvårdsregistret innan frågan om utlämnandet resp. inhämtandet av uppgifter ur patientdatabaserna är rättsligt reglerad.
6.4. Överväganden och förslag
6.4.1. Vårt förslag
En bestämmelse i lag bör införas som innebär att en uppgift som omfattas av hälso- och sjukvårdssekretess utan hinder av sekretessen får lämnas ut till socialstyrelsen, en landstingskommun eller en kom- mun som inte ingår i en landstingskommun, om uppgiften behövs i sådan särskild verksamhet hos myndigheten som avser forskning eller framställning av statistik inom hälso- och sjukvårdens område.
Uppgiftslämnandet bör emellertid endast få ske om sekretesskyddet är tillfredsställande hos den mottagande myndigheten, dvs. om upp- gifterna lämnas till sådan särskild verksamhet hos myndigheten som avser forskning eller framställning av statistik.
Information bör i fortsättningen lämnas till de registrerade om uppgiftslämnandet.
6.4.2. Våra överväganden Klinikerna samlar in patientuppgifter
När en vårdsökande vänder sig till en sjukvårdsinrättning för att bli under- sökt eller behandlad är det oftast nödvändigt för vården av honom att han berättar om sina personliga förhållanden, t. ex. om sitt hälsotillstånd. Pati- enten lämnar ut uppgifterna till personalen då han utgår från att de behövs för att han skall få en så bra vård som möjligt. Den enskilde räknar i allmänhet också med att uppgifterna år lämnade i förtroende och att mottagaren inte för dem vidare på ett otillbörligt sätt.
Patientuppgifterna dokumenteras
De insamlade uppgifterna dokumenteras som regel av hälso-och sjukvårds— personalen i en journal. De flesta journalerna förs fortfarande manuellt, men det blir allt vanligare med ADB-stöd.
Innehållet i en journal
Innehållet i en journal varierar naturligtvis från fall till fall.
En journal innehåller i allmänhet uppgift om patientens namn, person- nummer, adress och telefonnummer. Ofta finns också uppgift om patien- tens yrke och bostads- och hemförhållanden.
Vidare hör till de mer eller mindre obligatoriska uppgifterna en anteck— ning om orsaken till vårdkontakten och uppgift om hur kontakten upprätta- des, t. ex. att patienten togs in akut.
I en journal finns i allmänhet också uppgift om patientens tidigare och nuvarande sjukdomar och om patientens symtom och medicinering.
Det är inte heller ovanligt med noteringar om patientens fritidsaktivite- ter, kost-, alkohol- och rökvanor.
De undersökningar som har utförts på patienten och resultatet av dessa undersökningar finns som regel också beskrivna i journalen.
I allmänhet finns det dessutom s.k. dag- eller mottagningsanteckningar i en journal. Genom dessa anteckningar beskrivs den fortlöpande vården av patienten. Det finns t. ex. uppgift om olika inslag i sjukdomsbilden, under- sökningsresultat, bedömningar av olika slag, ordinationer och utfärdade remisser och intyg.
En journal avslutas i regel med en utskrivningsanteckning eller slutan— teckning. En sådan anteckning kan bl. a. innehålla uppgift om den fortsatta kontrollen av patienten, sjukskrivning och utfärdade recept.
Patientuppgifterna är integritetskänsliga
DOK:s beskrivning visar att hälso- och sjukvårdspersonalen samlar in och dokumenterar en mängd integritetskänsliga uppgifter om den vårdsö- kande. Dessa uppgifter skyddas av stränga sekretessbestämmelser för att den enskilde inte skall tvingas avstå från att söka vård på grund av oro för att uppgifter om hans personliga förhållanden skall spridas på ett otillbör- ligt sätt. Det råder inte någon tvekan om att hälso- och sjukvården tillhör ett av de områden där kraven på en verkningsfull sekretess kring de enskildas personliga förhållanden gör sig starkast gällande.
Patientuppgifterna är sekretesskyddade
DOK:s redogörelse för gällande rätt (se avsnitt 6.2.2) visar att hälso-och sjukvårdssekretessen som huvudregel innebär att uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden inte får lämnas ut till enskilda fysiska eller juridiska personer, en annan myndighet eller till en annan självständig verksamhetsgren inom den egna myndigheten.
Vi har i samband med redogörelsen för gällande rätt nämnt att det har funnits en viss tveksamhet inom hälso-och sjukvården om vad som menas med begreppet självständig verksamhetsgren i sekretesslagens mening.
Socialstyrelsen har gjort gällande att hela hälso- och sjukvårdsverksam- heten på ett sjukhus skall betraktas som en självständig verksamhetsgren och att informationsutbytet därmed skulle vara fritt inom hela hälso- och sjukvårdsverksamheten.
JO Tor Sverne och journalutredningen tillhör dem som förefaller att göra en mera restriktiv tolkning av begreppet och anser att varje klinik på ett sjukhus i allmänhet får betraktas som en självständig verksamhetsgren i sekretesslagens mening.
I detta sammanhang vill vi erinra om att utgångspunkten för lagstiftaren vid tillkomsten av den nuvarande sekretesslagen var att hålla den sekre- tesskyddade informationen inom en så snäv personkrets som möjligt av hänsyn till den enskildes personliga integritet.
När begreppet självständig verksamhetsgren skall tolkas bör vägledning sökas ur flera omständigheter. Bl. a. bör man i ett konkret fall söka svar på följande frågor. Är den aktuella myndigheten uppdelad på skilda organisa- toriska enheter? Får enheterna vidta olika åtgärder på egen hand och på
. eget ansvar? Bedriver enheterna olika slags verksamhet?
För att bestämma vad som är en självständig verksamhetsgren inom hälso- och sjukvården bör man alltså söka sig ned till den minsta organisa- toriska enheten som bl. a. har rätt att vidta olika faktiska åtgärder på egen hand.
Resultatet av tolkningen kan variera beroende på hur sjukvårdsinrätt- ningen är organiserad. Det kan också bli ett annat om organisationen ändras.
DOK anser att det inte är möjligt att en gång för alla slå fast vad som inom hälso- och sjukvården skall anses som en självständig verksamhets- gren i sekretesslagens mening. En bedömning får göras i varje konkret fall i likhet med vad som gäller för övriga statliga och kommunala myndigheter.
Enligt vår mening kan man i allmänhet inte betrakta hela hälso- och sjukvårdsverksamheten på ett sjukhus som en självständig verksamhets- gren. Ett sådant synsätt skulle nämligen kunna medföra ett icke önskvärt rutinmässigt informationsutbyte inom sjukhuset mellan enheter med olika verksamheter, t. ex. mellan en barnpsykiatrisk klinik och en ortoped-kirur- gisk klinik.
Vi delar närmast uppfattningen att det i regel är de olika klinikerna som bäst svarar mot begreppet självständig verksamhetsgren. Inom den öppna vården utgörs motsvarande enhet ofta av en vårdcentral. Ibland används uttrycket basenhet för att beskriva en organisatorisk enhet i nivå med en klinik och en vårdcentral.
Konstruktionen med en uppdelning på självständiga verksamhetsgrenar fungerar som ett legalt hinder mot ett fritt flöde av information inom t.ex. ett sjukhus. För att sekretesskyddade uppgifter skall få lämnas fordras att uppgiftslämnandet har stöd på ett eller annat sätt i sekretesslagen. Det finns flera sådana öppningar. Inte heller hindrar konstruktionen ett nöd- vändigt informationsutbyte mellan t.ex. en klinik och den överordnade ledningen vid ett sjukhus.
I den följande framställningen använder vi för enkelhets skull uttrycket klinik eller motsvarande när beskrivningen tar sikte på en självständig verksamhetsgren.
Uppgifter om en patient som skyddas av hälso- och sjukvårdssekretess får som vi redan nämnt lämnas ut om företrädare för kliniken eller motsva- rande vid en skadeprövning finner att det står klart att uppgiftslämnandet kan ske utan att den enskilde eller någon honom närstående lider men. Som vi närmare återkommer till torde skadeprövningen vid uppgiftsläm- nande i vårdsyfte i allmänhet utfalla så att uppgifter som behövs för vården kan lämnas. Det kan gälla ett informationsutbyte mellan exempelvis ett sjukhem och primärvården vid vården av bl. a. äldre i hemmet.
Vidare kan sekretesskyddade uppgifter om en patient lämnas ut om sekretessen viker på grund av en sekretessbrytande regel eller liknande. T.ex. kan sekretesskyddade uppgifter lämnas ut med den enskildes ut- tryckliga eller tysta samtycke. Uppgifter kan också lämnas om uppgifts- lämnandet är nödvändigt för att kliniken eller motsvarande skall kunna fullgöra sin egen verksamhet att ge patienten erforderlig vård. Exempelvis kan på denna grund uppgifter lämnas från en klinik för laboratorietester, röntgenundersökningar, konsultutlåtanden m.m. Även en författningsreg- lerad skyldighet att lämna ut hemliga uppgifter kan bryta sekretessen.
Vidare kan en klinik eller motsvarande vara skyldig att lämna ut de uppgifter som en tillsynsmyndighet behöver för sin tillsyn över den myn- dighet som förfogar över uppgifterna. Regeringen kan också för ett särskilt fall förordna om undantag från sekretessen när det är påkallat av synnerli- ga skäl.
Patientuppgifternas användningsområden
Patientuppgifterna behövs naturligtvis i första hand i samband med vården av den enskilde. Vår redogörelse för de ADB-stödda personregistren inom hälso- och sjukvårdsadministrationen (se avsnitt 6.3) visar emellertid att patientuppgifterna används också för andra ändamål än sådana som har med den direkta vården att göra. Bl.a. har landstingen och socialstyrelsen sedan många år tillbaka inrättat och fört olika ADB-register som innehåller uppgifter om patienternas personliga förhållanden. Uppgifterna i de regio- nala och centrala registren har som regel ursprungligen inhämtats resp. lämnats ut från kliniker och motsvarande. Uppgifterna i dessa register används i ingen eller endast i mycket liten utsträckning för den direkta vården eller behandlingen. De utnyttjas nämligen i huvudsak för statistik, forskning, tillsyn och administration.
Frågan är nu om företrädare för en klinik eller motsvarande får lämna ut de sekretesskyddade patientuppgifterna till en annan myndighet (resp. självständig verksamhetsgren) om uppgifterna behövs hos mottagaren i vårdsyfte, för tillsyn eller för verksamhet som avser forskning, statistik eller administration.
Uppgiftslämnande i vårdsyfte
När det gäller uppgiftslämnande i vårdsyfte anser DOK att gällande rätt innebär en tillfredsställande avvägning mellan intresset av att skydda den enskildes personliga integritet och intresset av att ge den enskilde en så bra vård som möjligt. Enligt vår bedömning kan nämligen patientuppgifter lämnas ut för att ge patienten erforderlig vård utan att utlämnandet behö- ver innebära men för patientens personliga integritet.
En klinik eller motsvarande kan lämna ut sekretesskyddade uppgifter om en patient, om uppgiftslämnandet är nödvändigt för att den utlämnande kliniken skall kunna fullgöra sin egen verksamhet (jfr ] kap. 5 & Seer). Detta torde t. ex. innebära att företrädare för en klinik kan lämna ut sekretesskyddade patientuppgifter till en fristående medicinsk expert, om uppgiftslämnandet är nödvändigt för klinikens vårdinsats.
Uppgiftslämnande i vårdsyfte kan enligt vår uppfattning i allmänhet ske också efter en skadeprövning av företrädare för den klinik eller motsvaran- de som förfogar över de sekretesskyddade uppgifterna. Vi delar den be- dömning som har gjorts i förarbetena till sekretesslagen och som bl.a. innebär att skaderekvisitet normalt sett anses medge att uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden lämnas från en läkare till en annan om den mottagande läkaren behöver uppgifterna för vården av den enskilde. Vi anser också att patientuppgifter under motsva- rande förutsättningar kan lämnas från en sjukvårdsinrättning till en annan.
Det är mera tveksamt i vilken utsträckning skaderekvisitet medger att sekretesskyddade uppgifter om en patient lämnas från en vårdsektor till en annan. Ett visst utrymme torde i allmänhet finnas om syftet är att bistå en patient. Men inte ens ett sådant syfte torde normalt sett räcka om det är fråga om att lämna uppgifter från den psykiatriska till den somatiska vården.
Föreligger det ett behov av att lämna ut sekretesskyddade patientupp- gifter i vårdsyfte kan ett uppgiftslämnande ske i vissa fall även om utläm- nandet inte är nödvändigt för att kliniken eller mbtsvarande skall kunna fullgöra sin egen verksamhet och stöd för utlämnandet inte heller finns i resultatet av en skadeprövning. En förutsättning är då att kliniken eller motsvarande kan åberopa någon annan sekretessbrytande regel eller mot- svarande som stöd för sitt uppgiftslämnande, t. ex. den enskildes samtycke till uppgiftslämnandet eller att en uppgiftsskyldighet följer av lag eller förordning.
I detta sammanhang vill vi erinra om att det inte alltid är nödvändigt att det finns ett uttryckligt samtycke från den enskilde. Det framgår nämligen inte sällan av den enskildes beteende att han godtar att en sekretesskyddad uppgift om hans personliga förhållanden lämnas ut, t. ex. om uppgiftsläm- nandet är av betydelse för vården av honom.
När patientuppgifter lämnas ut i vårdsyfte är sekretesskyddet i allmän- het gott hos mottagaren. Oftast gäller bestämmelserna om hälso- och sjukvårdssekretess hos mottagaren oavsett om denne är en myndighet eller en fysisk person, t.ex. en annan sjukvårdsinrättning resp. en läkare. 1 andra fall kan den enskilde mottagarens rätt att utnyttja eller lämna uppgif- ten vidare inskränkas genom ett s.k. sekretessförbehåll enligt 14 kap. 9 5 första stycket Seer.
När det gäller uppgiftslämnande i vårdsyfte vill vi understryka vikten av att mottagaren inte begår och inte heller tillåts få ut andra sekretesskyd- dade uppgifter än sådana som han i ett konkret fall kan behöva för vården av en patient. Frågan bör ägnas särskild uppmärksamhet när uppgifterna görs tillgängliga med hjälp av ADB, t. ex. genom en terminal hos motta- garen. Det ankommer på den registeransvarige att se till att det eller de register som han ansvarar för uppfyller kraven enligt gällande rätt, bl.a. enligt datalagen och sekretesslagen. Det åligger den registeransvarige att överväga vilka tekniska eller rättsliga begränsningar som behövs för att obehöriga inte skall få tillgång till uppgifterna.
En annan fråga är om patientuppgifterna får lagras i ett ADB-register. Som vi har nämnt i samband med redogörelsen för gällande rätt (se avsnitt 6.2.3) finns det särskilda regler i datalagen som skall iakttas av den som vill inrätta och föra ett personregister med stöd av ADB. Syftet med bestäm- melserna är att hindra inrättande och förande av personregister som kan medföra risk för otillbörligt intrång i den enskildes personliga integritet.
När det gäller patientuppgifter är huvudregeln att det krävs tillstånd av datainspektionen för att få inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt. Undantagna från tillståndsplikten är enligt 2 a & tredje stycket 2. datalagen endast sådana personregister som inrättas och förs för vård- och behandlingsändamål av myndigheter inom hälso- och sjukvården. Undantag gäller dessutom för
statsmaktsregistren, dvs. för personregister som har inrättats efter beslut av riksdag eller regering. För dessa register räcker det att den registeran- svarige har en licens som är utfärdad av datainspektionen. Andra register som förs inom hälso- och sjukvården, t.ex. forskningsregister, omfattas bara av undantaget om de är statsmaktsregister.
Enligt vår mening skall den registeransvarige självfallet se till att vård- och behandlingsregistren inte innehåller andra uppgifter än som behövs för vården eller behandlingen och att registren inte heller används för andra ändamål.
Sammanfattningsvis anser DOK när det gäller uppgiftslämnande i vård- syfte att gällande rätt innebär en tillfredsställande avvägning mellan intres- set av att skydda den enskildes personliga integritet och intresset av att kunna lämna ut uppgifter i syfte att ge den enskilde en så bra vård som möjligt. Det finns således tillräckliga möjligheter till ett informationsutbyte i vårdsyfte under hänsynstagande till den enskildes personliga integritet. Det ankommer på den utlämnande enheten att se till att inte mottagaren av patientuppgifterna får andra sekretesskyddade uppgifter än sådana som han i ett konkret fall behöver för vården av den enskilde. Frågan bör ägnas särskild uppmärksamhet om uppgiftslämnandet sker med hjälp av ADB. Den registeransvarige har också att se till att vård- och behandlingsregis- tren inte innehåller andra uppgifter än sådana som kan behövas för vården eller behandlingen och att registren inte heller utan stöd i lag eller förord- ning eller beslut av datainspektionen utnyttjas för andra ändamål än de ursprungligen uppgivna.
Uppgiftslämnande för tillsyn
Även i fråga om uppgiftslämnande för tillsyn anser vi att gällande rätt innebär en tillfredsställande avvägning mellan motstående intressen, dvs. i detta fall intresset av att skydda den enskildes personliga integritet och intresset av att en tillsynsmyndighet skall kunna inhämta även sekretes- skyddade patientuppgifter för sin tillsyn.
Av 18 & HSL framgår att socialstyrelsen skall utöva tillsyn över den allmänna hälso- och sjukvården. Vidare står all hälso- och sjukvårdsperso- nal i sin yrkesutövning under tillsyn av socialstyrelsen enligt 2 5 lagen (1980: 11) om tillsyn över hälso- och sjukvårdspersonalen m.fl. Socialsty- relsens tillsynsuppgifter är närmare angivna i förordningen (1981 : 683) med instruktion för socialstyrelsen.
Som vi har nämnt under redogörelsen för gällande rätt (se avsnitt 6.2.2 under rubriken Sekretessbrytande regler m.m.) kan socialstyrelsen kräva in de uppgifter som socialstyrelsen behöver för sin tillsyn. Sekretess hind- rar nämligen inte att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn av den myndighet där uppgiften förekommer (jfr 14 kap. 2 & första stycket 3 Seer).
Bestämmelserna i 14 kap. 2 & första stycket 3 Seer innebär inte att socialstyrelsen har rätt att kräva att en klinik eller motsvarande skall lämna ut alla slags uppgifter och inte heller att uppgifter skall lämnas ut i obegrän- sad omfattning. En förutsättning för uppgiftslämnandet är nämligen att de begärda uppgifterna behövs för tillsynen. Enligt vår bedömning kan social-
styrelsen alltså inte med stöd av den nämnda bestämmelsen få ut sekre- tesskyddade uppgifter om insamlandet bygger på en önskan att samla in uppgifter utan att något konkret behov av tillsyn föreligger.
När det gäller frågan om sekretesskyddet hos mottagaren anser vi att skyddet är tillfredsställande när socialstyrelsen i egenskap av tillsynsmyn- dighet inhämtar patientuppgifter från t. ex. en klinik eller motsvarande. I 7 kap. 1 & andra stycket Seer föreskrivs nämligen att hälso- och sjuk- vårdssekretessen enligt första stycket i samma paragraf inte bara gäller inom hälso- och sjukvården utan också i sådan verksamhet hos myndighet som innefattar särskild tillsyn över hälso- och sjukvården. Vidare framgår av 13 kap. l & Seer att om myndighet i sin tillsynsverksamhet från en myndighet erhåller uppgift som är sekretessbelagd där så gäller sekretes- sen också hos den mottagande myndigheten. Bestämmelserna innebär alltså att den primära hälso- och sjukvårdssekretessen är tillämplig också hos socialstyrelsen när socialstyrelsen inhämtar uppgifterna i egenskap av tillsynsmyndighet.
Som vi har nämnt i samband med redogörelsen för gällande rätt (se avsnitt 6.2.3) finns det särskilda regler i datalagen som skall iakttas vid lagring av personuppgifter med hjälp av ADB. Dessa regler innebär bl. a. att socialstyrelsen måste utverka ett beslut av riksdagen eller regeringen eller ansöka om tillstånd hos datainspektionen för att få inrätta och föra ett ADB-baserat tillsynsregister som skall innehålla uppgifter om någons häl- sotillstånd. Tillstånd att inrätta och föra ett sådant register kan meddelas av datainspektionen bara om det saknas anledning att anta att otillbörligt intrång i de registrerades personliga integritet skall uppkomma.
Sammanfattningsvis anser DOK när det gäller uppgiftslämnande för tillsyn att gällande rätt innebär en tillfredsställande avvägning mellan intresset av att skydda den enskildes personliga integritet och intresset av att socialstyrelsen som tillsynsmyndighet skall kunna inhämta även de sekretesskyddade patientuppgifter som behövs för tillsynen.
Uppgiftslämnande förforskning och statistisk verksamhet
DOK har i samband med redogörelsen för ADB-stödda personregister inom hälso- och sjukvårdsadministrationen (se avsnitt 6.3) visat att klini- kerna eller motsvarande lämnar sekretesskyddade patientuppgifter till landstingen och socialstyrelsen där uppgifterna lagras i ADB-register och används för forskning och statistisk verksamhet.
Landstingen och socialstyrelsen anser att de behöver uppgifterna för att klara vad statsmakterna har ålagt dem.
Landstingen har genom HSL fått nya uppgifter. Landstingen skall enligt lagen planera hälso- och sjukvården med utgångspunkt i befolkningens behov av vård. Det övergripande målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Enligt lagens förarbeten (jfr prop. 1981/82:97) skall en satsning ske på förebyggande verksamhet, förbättrad planering och samordning, som också innefattar uppföljningsinsatser. Verksamheten skall bedrivas effektivt. För sin plane- ring och uppföljning anses landstingen behöva ett planeringsunderlag som
.__. ___—mau— ...v—z. zac—vw
visar såväl vårdresultat som resurskonsumtion bl. a. för olika socio-ekono- miska grupper och olika kommuner inom landstingsområdet.
De centrala registren hos socialstyrelsen anses ha stor betydelse för att vidga kunskapen om det bl. a. finns samband mellan olika sjukdomar och miljöfaktorer. Som exempel på olika studier som socialstyrelsen har gjort kan nämnas: 1. en studie av riskerna för blodpropp vid p-pilleranvändning, 2. en jämförelse mellan olika socio-ekonomiska grupper av födelsevikten och hälsotillståndet för nyfödda barn, 3. jämförelser mellan olika geogra- fiska regioner av omfattningen av psykiatrisk tvångsvård, 4. en undersök- ning av sambanden mellan användningen av fenoxisyror och födslar med missbildade barn och 5. en studie av i vilken mån det förekommer en ökad frekvens av cancer i näsan hos träarbetare.
Det framgår av vår beskrivning att klinikerna eller motsvarande kan ha varierande stöd för att bryta sekretessen och lämna ut uppgifterna till de skilda registren. Uppgiftslämnandet kan t. ex. bygga på samtycke från den enskilde eller på en uppgiftsskyldighet som följer av en lageller en förord- ning. T. ex. lämnar läkare uppgift om upptäckta cancerfall till socialstyrel- sens cancerregister eftersom det finns en viss uppgiftsskyldighet i 25 kungörelsen (1957: 632) om cancerregister.
Vår genomgång visar emellertid också att sekretesskyddade uppgifter förefaller att lämnas ut till flera av registren utan att det finns erforderligt stöd för att bryta sekretessen och lämna ut uppgifterna.
Det är t. ex. oklart med vilket stöd klinikerna eller motsvarande bryter sekretessen och lämnar ut uppgifter om patienterna till landstingens pa- tientdatabaser. Att landstingen skulle ta hand om uppgifterna för att lands- tingen handlar på uppdrag av klinikerna och fungerar som någon slags servicebyrå kan knappast göras gällande, eftersom landstingen inte bara bearbetar och lagrar uppgifterna för den uppgiftslämnande klinikens räk- ning utan också bl.a. använder uppgifterna i den egna verksamheten. Dessutom lämnar landstingen uppgifterna vidare till flera av socialstyrel- sens ADB-stödda forsknings- och statistikregister.
Det har inte heller från något håll hävdats att det finns en sekretessbry- tande regel eller liknande som kan åberopas som stöd för uppgiftslämnan- det.
Vi har inte heller kunnat finna att uppgiftslämnandet bygger på någon sådan bestämmelse, t. ex. samtycke från den enskilde, uppgiftsskyldighet i lag eller förordning eller dispens av regeringen från sekretessen enligt 14 kap. 8 % Seer.
Det torde också vara något långsökt att hävda att klinikerna eller mot- svarande behöver lämna ut uppgifterna för att kunna fullgöra sin egen verksamhet (jfr 1 kap. 5 & Seer). Visserligen kan sägas att uppgifternas användning för statistik och forskningsverksamhet ytterst gagnar den egentliga hälso- och sjukvården, men detta samband har inte en så omedel- bar karaktär att det kan motivera ett utlämnande av sekretessbelagda uppgifter med stöd av den här angivna bestämmelsen.
Enligt vår bedömning kan uppgiftslämnandet knappast heller grundas på en skadeprövning. Visserligen kan även ett rutinmässigt uppgiftslämnande i undantagsfall ske efter en skadeprövning, särskilt om sekretesskyddet är tillfredsställande hos mottagaren av uppgifterna och dessa inte skall använ-
das för något kontroversiellt ändamål. Mot ett rutinmässigt uppgiftsläm- nande i detta och liknande fall talar emellertid att det handlar om patient- uppgifter som är mycket integritetskänsliga och därför skyddas av ovanligt sträng sekretess. Till detta bör läggas att den enskildes egen uppfattning om vad som skall anses vara men har en stor betydelse för skadeprövning- ens utgång och att det säkert finns patienter som anser att ett rutinmässigt uppgiftslämnande utan samtycke eller författningsstöd innebär en kränk- ning av den personliga integriteten.
Det finns som vi har nämnt också andra ADB-stödda personregister för forskning och statistik till vilka utlämnandet av sekretesskyddade patient- uppgifter förefaller att sakna stöd i författning (se avsnitt 6.3).
I den uppkomna situationen kan man fråga sig om kommittén skall pröva om dessa register bör få finnas eller ej eller om vi skall begränsa oss till att analysera den rättsliga regleringen av uppgiftslämnandet till registren och föreslå de åtgärder som analysen kan ge upphov till.
I prop. 1984/85: 181 (se 5. 129) framhölls att det i avvaktan på DOK:s analys av bl. a. den rättsliga regleringen av tillgängligheten av uppgifter ur landstingens patientdatabaser var angeläget att socialstyrelsen fortsatte arbetet med uppbyggnaden av ett system för den centrala hanteringen av material ur landstingens patientdatabaser i enlighet med då gällande planer. Riksdagen hade inte något att erinra mot det anförda (jfr SOU 1984/85: 28 och rskr. 1984/85: 400).
Vi har inte kunnat finna att personregistren med patientuppgifter förs i strid med statsmakternas intentioner (se avsnitt 6.3). Tvärtom tycks registren föras med statsmakternas direkta eller indirekta stöd.
DOK har gjort den bedömningen att kommittén inte skall pröva frågan om registren bör få finnas eller ej. Som vi har nämnt under redogörelsen för gällande rätt (se avsnitt 6.2.3) finns det redan regler enligt vilka den frågan skall avgöras. Dessa bestämmelser finns i datalagen och syftar till att förhindra att sådana ADB-stödda personregister inrättas och förs som kan innebära risk för otillbörligt intrång i den registrerades personliga integritet. Det är i första hand datainspektionen som skall se till att regler- na i datalagen efterlevs.
Vi har inte haft anledning att närmare granska om de ADB-stödda personregistren inom hälso- och sjukvårdsadministrationen uppfyller data- lagens krav utan konstaterar att datainspektionen inte har kunnat finna att något av personregistren har inrättats eller förs i strid med datalagens bestämmelser.
I vårt uppdrag ingår tveklöst att analysera den rättsliga regleringen av uppgiftslämnandet från klinikerna och motsvarande till de olika registren, dvs. det rättsliga stödet för att bryta sekretessen och lämna uppgifter till landstingen och socialstyrelsen. I uppdraget måste också anses ingå att vid behov föreslå de åtgärder som analysen kan motivera.
DOK tar som vi nyss sagt inte ställning till vilka forsknings- och statis- tikregister som bör få finnas. Kommittén tar inte heller ställning till vilka slags uppgifter som bör få ingå i de olika registren. Dessa frågor skall nämligen i de konkreta fallen avgöras i annan ordning enligt gällande rätt. Däremot ser vi det som vår uppgift att reglera uppgiftslämnandet från klinikerna och motsvarande till landstingens och socialstyrelsens forsk-
nings- och statistikregister samt att se till att sekretesskyddet för uppgif- tema är tillfredsställande hos mottagaren.
Vid bedömningen av hur den rättsliga regleringen bör ordnas utgår vi från följande överväganden.
För att den enskildes förtroende för hälso- och sjukvården inte skall rubbas är det av stor betydelse att hälso- och sjukvårdspersonalen berättar för honom eller henne varför man anser sig behöva uppgifter om personliga förhållanden och dessutom informerar om hur eventuellt utlämnade upp- gifter kan komma att användas. Informationens betydelse kan inte nog understrykas (jfr t. ex. Europarådets rekommendation No. R (83) 10).
Vidare är vår principiella inställning att sekretesskyddade patientupp- gifter inte utan den enskildes samtycke eller stöd i författning skall lämnas ut t. ex. till andra delar av landstinget och socialstyrelsen. Detta gäller i särskilt hög grad om uppgifterna skall användas för andra ändamål än vård och behandling eller tillsyn.
När det gäller uppgiftslämnande efter samtycke lär det inte vara särskilt svårt att få den enskildes förståelse och samtycke för uppgiftslämnandet när uppgifterna skall användas för ett väl avgränsat projekt som uppfattas som angeläget av dem som berörs och uppgifterna är skyddade hos motta- garen.
Det är svårare att begära och att få ett samtycke om man bara i allmänna ordalag kan ange att de insamlade uppgifterna skall användas i angelägna projekt för forskning eller statistisk verksamhet.
Det är enligt vår mening knappast möjligt att bygga uppgiftslämnandet till t. ex. det sedan många år förda kroppssjukvårdsregistret på samtycke från patienterna. Den främsta anledningen till att metoden med samtycke inte är någon framkomlig väg är att de statistik- och forskningsprojekt som kan bli aktuella i framtiden inte närmare kan anges. Vi anser alltså att det inte är lämpligt att begära att den enskilde skall ge ett så generellt samtycke som skulle behövas för uppgiftslämnande till register av här aktuellt slag.
Enligt vår bedömning bör man i stället reglera uppgiftslämnande till forsknings- och statistikregistren genom författning. Regleringen bör göras i lag eftersom frågan berör kommunernas verksamhet (jfr 8 kap. 5 % RF). Även om uppgiftslämnandet författningsregleras är det naturligtvis synner- ligen viktigt att hälso- och sjukvårdspersonalen informerar patienterna om uppgiftslämnandet och om sekretesskyddet av uppgifterna hos motta- garen.
I detta sammanhang kan nämnas att det av DOK:s tilläggsdirektiv (jfr Dir 1984148 5. 18 f) framgår att kommittén bör ta ställning till om det är befogat att införa krav på lagstöd för vissa slags register. Om vi skulle anse detta, bör kommittén enligt direktiven ange på vilka områden och beträf- fande vilka typer av register som ett sådant krav bör gälla. Enligt direkti- ven bör vi också överväga om kravet bör komma till uttryck i författning. Däremot bör kommittén inte lägga fram förslag till regler för ViSSa speciella områden eller register. Vi skall nöja oss med att ange vilka principer som bör gälla.
DOK avser att återkomma till denna del av utredningsuppdraget i ett senare betänkande.
Vi gör emellertid redan nu den bedömningen att i vart fall större, perma-
nenta ADB-register med patientuppgifter inom hälso- och sjukvården bör tillhöra den grupp av register som bör författningsregleras på grund av uppgifternas ömtåliga karaktär. För mindre och mera tillfälliga register kan det dock komma att visa sig att de nu gällande reglerna om bl. a. licens och tillstånd i datalagen är tillräckliga för att tillgodose patienternas integritets- skydd också i fortsättningen (se avsnitt 6.2.3).
En författningsreglering av större, permanenta ADB-stödda personregis- ter med patientuppgifter inom hälso- och sjukvårdens område skulle kunna omfatta regler om bl. a. registeransvarig myndighet, ändamålet med regist- ret, vilka slags uppgifter som får ingå i registret, varifrån uppgifter får inhämtas, på vilket sätt uppgifter får inhämtas, hur uppgifterna får använ- das, hur uppgifterna skall skyddas, hur länge uppgifterna får bevaras i registret samt regler om information till de registrerade . Ett exempel på hur en skiss till sådan författningsreglering skulle kunna se ut framgår av bilaga 7 till vårt betänkande.
Som DOK nyss har sagt torde det inte ankomma på kommittén att lägga fram konkreta förslag om hur dessa frågor skall regleras för olika register. I kommitténs uppdrag ingår däremot att ange om det finns några register som bör författningsregleras och ange de principer som bör gälla. Till dessa frågor avser vi att återkomma i ett senare betänkande. Här nöjer vi oss med att föreslå åtgärder för att komma till rätta med akuta oklarheter när det gäller den rättsliga regleringen av uppgiftslämnandet om patienter och skyddet av uppgifterna hos den mottagande myndigheten.
Vi anser alltså att frågan om utlämnande av sekretesskyddade uppgifter från en klinik eller motsvarande till ett landsting eller socialstyrelsen med hänsyn till rådande oklarheter bör tas upp redan nu. Det är nämligen knappast försvarbart att vänta med förslag om reglering av detta uppgifts- lämnande, eftersom det här gäller en pågående verksamhet vars rättsliga stöd är föremål för delade meningar.
Det behov som skall tillgodoses är intresset av forskning och statistisk verksamhet inom hälso- och sjukvården. Enligt vår uppfattning bör det därför uttryckligen framgå av den nya författningstexten att uppgifterna får lämnas ut bara om de behövs i sådan särskild verksamhet hos den motta- gande myndigheten som avser forskning eller framställning av statistik inom hälso- och sjukvårdens område.
Med en sådan beskrivning uppnås dessutom den fördelen att sekretes- skyddet blir starkt också hos mottagaren av uppgifterna. Lämnas uppgif- terna t.ex. ut till en sådan särskild verksamhet hos socialstyrelsen som avser framställning av statistik kommer den stränga bestämmelsen om statistiksekretess i 9 kap. 4 & Seer att bli tillämplig. Statistiksekretessen är enligt huvudregeln absolut, dvs. sekretess gäller för uppgifter om enskil- das personliga eller ekonomiska förhållanden och är inte beroende av någon skadeprövning.
Möjligheterna att bryta genom statistiksekretessen är förhållandevis små. Bl.a. gäller numera inte den s.k. generalklausulen, dvs. uppgifter kan inte lämnas från en myndighet till en annan efter en intresseavvägning. Uppgifter kan däremot lämnas ut t. ex. till en annan självständig verksam- hetsgren inom socialstyrelsen, en annan myndighet eller en enskild om uppgifterna behövs där för forskningsändamål, om det står klart att uppgif-
terna kan röjas utan att den som uppgifterna gäller eller någon honom närstående lider skada eller men. Vidare kan uppgift, som inte genom namn. annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde lämnas ut under samma förutsättningar.
Uppgifter kan naturligtvis också lämnas ut om de helt avidentifieras före utlämnandet, dvs. personanknytning tas bort så att uppgifterna inte under några förhållanden kan härledas till en viss person.
Sekretesskyddet blir starkt hos mottagaren också när uppgifterna läm- nas ut från en klinik eller motsvarande för att användas i t.ex. socialstyrel- sens forskningsverksamhet. Den hälso— och sjukvårdssekretess som gäller för uppgifterna hos kliniken eller motsvarande följer nämligen med uppgif- terna enligt 13 kap. 3 5 Seer till den myndighet som får ut uppgifterna för att använda dem i sin forskningsverksamhet.
Om det blir tal om att lämna ut patientuppgifter från socialstyrelsens forskningsverksamhet "får utlämnandefrågan avgöras på sedvanligt sätt, dvs. genom avidentifiering av uppgifterna, skadeprövning eller eventuellt med tillämpning av någon sekretessbrytande regel.
Vad som här har sagts om socialstyrelsen bör få motsvarande tillämp- ning om uppgifterna lämnas till en landstingskommun eller till en kommun som inte ingår i en landstingskommun, dvs. Göteborgs, Malmö och Got- lands kommuner. Uppgifterna bör givetvis inte lämnas ut för att användas i register utanför den kommun som den utlämnande enheten tillhör.
Frågan om vem som för en myndighets räkning, t.ex. en klinik eller motsvarande. får besluta om att lämna ut uppgifter till en annan myndighet eller liknande regleras inte uttömmande i sekretesslagen.
I 15 kap. 6 & Seer finns vissa bestämmelser om förfarandet. Där före- skrivs att det i första hand ankommer på den som förfogar över en handling för myndighetens räkning att ta ställning till om handlingen skall lämnas ut. I tveksamma fall kan han hänskjuta frågan om handlingens utlämnande till myndigheten. Han skall också hänskjuta frågan till myndigheten, om han vägrar att lämna ut handlingen eller på annat sätt begränsar någons rätt att förfoga över handlingen. Det bör framhållas att bestämmelsen bara gäller om det är en enskild person som begär att få handlingen utlämnad. Vidare bör erinras om att bestämmelsen naturligtvis inte bara gäller när det är fråga om utlämnande av traditionella pappersdokument utan också för ADB-upptagningar.
Någon motsvarande reglering finns inte när det gäller utlämnande av handlingar från en myndighet till en annan. Frågan om vem som för en myndighets räkning får lämna ut sekretesskyddade uppgifter i detta fall får avgöras med hjälp av vad som gäller i allmänhet om ansvarsfördelningen inom en myndighet, t.ex. med ledning av myndighetens arbetsordning (jfr prop. 1979/80: 2, del A, 5. 123 och prop. 1983/84:142 s. 41).
Det finns således inte något som hindrar att en myndighet i sin arbets- ordning närmare reglerar i vilken utsträckning enskilda befattningshavare skall kunna lämna uppgifter till andra myndigheter och i vad mån uppgifts- lämnandet skall ankomma på myndighetens resp. klinikens ledning.
Uppgiftslämnandet bör i så stor utsträckning som möjligt ske på ett sådant sätt att det är möjligt att i efterhand kontrollera bl. a. vilka uppgifter som har lämnats ut, när det har skett. till vem uppgifterna har lämnats och
vem som har svarat för uppgiftslämnandet. Vidare bör framgå med vilket stöd uppgifterna har lämnats ut, t. ex. efter skadeprövning eller på grund av viss uppgiftsskyldighet.
I de fall uppgifter lämnas ut muntligen bör naturligtvis en tjänsteanteck- ning eller liknande göras. Att en dokumentation också görs hos den motta- gande myndigheten ligger i sakens natur.
En dokumentation är betydelsefull inte minst när fråga uppstår om att uppgifterna är felaktiga eller missvisande eller när någon gör gällande att uppgifterna har lämnats ut på ett otillbörligt sätt.
Dessa frågor bör självfallet beaktas även i det fall utlämnande sker med hjälp av ADB. Möjligheten till loggning eller motsvarande bör alltså utnytt- jas i så stor utsträckning som möjligt.
En bestämmelse om uppgiftslämnande till forsknings- och statistikregis- ter kan t. ex. tas in i HSL. Den kan också med fördel placeras i sekretessla- gen. Bestämmelsen passar t. ex. väl ihop med bestämmelser om uppgifts— lämnande mellan myndigheter som redan finns i inledningen av 14 kap. Seer. Bestämmelsen blir emellertid ännu lättare att hitta och förstå om den tas in som ett undantag från hälso- och sjukvårdssekretessen i 7 kap. l & Seer.
DOK föreslår därför att det i 7 kap. ] & Seer införs en bestämmelse som innebär att en uppgift som omfattas av hälso- och sjukvårdssekretess utan hinder av sekretessen får lämnas ut för forsknings- och statistikverk- samhet inom hälso- och sjukvårdens område till socialstyrelsen. en lands- tingskommun eller en kommun som inte ingår i en landstingskommun. En förutsättning för att den föreslagna bestämmelsen skall bli tillämplig är alltså att uppgiften behövs i sådan särskild verksamhet hos myndigheten som avser klinisk eller epidemiologisk forskning eller framställning av statistik bl. a. för planering och uppföljning inom hälso- och sjukvårdens område. Bestämmelsens utformning medför att uppgifterna kan bli skyd- dade av sekretess hos mottagaren.
Frågan om den mottagande myndigheten får inrätta och föra ett ADB-re- gister med de erhållna uppgifterna får avgöras i vanlig ordning av i första hand datainspektionen enligt bestämmelserna i datalagen (se avsnitt 6.2.3).
Uppgiftslämnande för administrativ verksamhet
DOK föreslår inte någon utvidgning av möjligheterna att från en klinik eller motsvarande lämna ut sekretesskyddade uppgifter om patienter när upp— gifterna skall användas i administrativ verksamhet hos socialstyrelsen eller ett landsting. Vårt förslag innebär tvärtom en åtstramning för det utläm- nande av patientuppgifter som i dag pågår för administrativa ändamål.
Vår restriktiva inställning när det gäller uppgiftslämnande för administ- rativ verksamhet beror på att det inte har framkommit några så starka behov som motiverar att intresset för skyddet av patienternas personliga integritet bör få stå tillbaka för intresset av ett mera fritt informationsut- byte för administrativa ändamål. I sammanhanget har DOK också tagit hänsyn till att uppgifter som lämnas ut för administrativa ändamål till socialstyrelsen eller ett landsting saknar eller har ett förhållandevis svagt sekretesskydd hos mottagaren.
Som vi har nämnt under redogörelsen för ADB-register inom hälso- och sjukvårdsadministrationen (se avsnitt 6.3) lämnar klinikerna eller motsva- rande i dag ut sekretesskyddade patientuppgifter till landstingens patient- databaser. Från patientdatabaserna lämnas uppgifterna vidare till bl.a. socialstyrelsens kroppssjukvårdsregister. Både hos landstingen och social- styrelsen används uppgifterna framför allt för forskning och statistisk verksamhet, men också för administrativa ändamål. Bl. a. används uppgif- terna för vårdorganisatoriska studier beträffande patientflöde och vård- platsutnyttjande. Uppgifterna används också för ekonomisk-kamerala ruti- ner för utbetalning av bl. a. hemsjukvårdsbidrag och beräkning av patient- avgifter.
Vi har föreslagit att en klinik eller motsvarande skall få författningsreg- lerade möjligheter att lämna ut sekretesskyddade patientuppgifter om de skall användas för forskning och statistisk verksamhet inom hälso- och sjukvården och om uppgifterna får ett tillfredsställande skydd hos motta- garen.
Kommittén är däremot inte beredd att på motsvarande sätt tillåta också uppgiftslämnande för administrativa ändamål. Detta beror naturligtvis på att stor hänsyn måste tas till skyddet av patienternas personliga integritet. Vi gör också den bedömningen att landstingen bör kunna klara berättigade informationsbehov för administrativa ändamål med de regler som gäller i dag.
De bestämmelser i sekretesslagen som är uppställda till skydd för den enskildes personliga förhållanden, t. ex. hälso— och sjukvårdssekretessen, utgör ett hinder mot att uppgifter lämnas ut så att en enskild person kan lida men. Den enskilde kan i allmänhet bara lida men om uppgifterna är hänförliga till honom. Detta innebär att sekretessen inte hindrar att en klinik eller motsvarande lämnar ut avidentifierade patientuppgifter till socialstyrelsen eller ett landsting. Sekretessen hindrar självfallet inte heller att avidentifierade patientuppgifter lämnas ut från landstingens och social- styrelsens forsknings- och statistikregister.
I de fall socialstyrelsen eller ett landsting har behov av sekretesskyd- dade patientuppgifter för administrativa ändamål bör uppgiftslämnandet kunna klaras i första hand genom en skadeprövning eller ett samtycke.
Om ingen av dessa vägar visar sig framkomlig får frågan om en författ- ningsreglerad uppgiftsskyldighet övervägas. DOK har dock inte kunnat finna att det för dagen finns något behov som är så starkt att man för administrativa ändamål bör bryta genom sekretessen med en ny uppgifts- skyldighet.
Slutenvårdsregistret
Som DOK har nämnt under redogörelsen för ADB-register inom hälso- och sjukvården (se avsnitt 6.3) har socialstyrelsen för avsikt att inrätta och föra det s.k. slutenvårdsregistret för riket. Registret skall innehålla upp- gifter om de patienter som har varit intagna för kroppssjukvård eller psykiatrisk vård, dvs. ungefär 1—1,5 miljoner människor per år. Uppgif- terna i registret skall avidentifieras en gång om året. Slutenvårdsregistret skall ersätta två nu förda register, som innehåller personanknutna upp-
gifter om mer än 4 miljoner patienter som har varit intagna för kroppssjuk- vård resp. psykiatrisk vård.
Vi gör helt allmänt den bedömningen att det från integritetssynpunkt naturligtvis är att föredra ett register som innehåller patientuppgifter som avidentifieras en gång om åretjämfört med ett liknande register där uppgif- terna förblir personanknutna år efter år.
Vi anser inte att det är vår uppgift att ta ställning till slutenvårds- registrets vara eller inte vara eller till vilka slags uppgifter som skall få registreras i ett eventuellt slutenvårdsregister. Dessa frågor bör avgöras i den ordning som redan nu är föreskriven i gällande rätt (se avsnitt 6.2.3).
Vårt tidigare redovisade förslag innebär att bl. a. en klinik eller motsva- rande kommer att få lämna sekretesskyddade patientuppgifter till ett even- tuellt slutenvårdsregister och liknande register under vissa förutsättningar.
En grundläggande förutsättning är givetvis att det finns tillstånd eller motsvarande för det ifrågavarande registret.
En annan förutsättning för att uppgiftslämnandet skall få ske år att uppgifterna enligt vårt förslag till ändring i sekretesslagen lämnas till soci- alstyrelsen, en landstingskommun eller en kommun som inte ingår i en landstingskommun. De primärkommuner som avses är Göteborgs, Malmö och Gotlands kommuner som inte ingår i någon landstingskommun, men som har ansvaret för den offentliga hälso- och sjukvården inom sina resp. områden.
Vidare krävs enligt vårt förslag att uppgifterna behövs i sådan särskild verksamhet hos den mottagande myndigheten som avser forskning eller framställning av statistik och då bara forskning och statistik inom hälso- och sjukvårdens område. Behövs uppgifterna för t. ex. administrativa än- damål får man enligt förslaget av hänsyn till skyddet av patienternas personliga integritet i första hand nöja sig med avidentifierade uppgifter. För särskilt avgränsade administrativa ändamål kan naturligtvis andra regler bli tillämpliga, t. ex. uppgiftslämnande efter samtycke från den en— skilde eller uppgiftslämnande efter en skadeprövning eller på grund av en uppgiftsskyldighet.
Enligt vårt förslag är ytterligare en förutsättning för att patientuppgifter skall få lämnas till ett forsknings-eller statistikregister att uppgifterna kan bli skyddade av sekretess hos mottagaren. dvs. att de lämnas till en självständig verksamhetsgren för statistik eller forskning hos socialstyrel- sen, ett landsting eller motsvarande.
I detta sammanhang vill DOK understryka vikten av att resp. register förs för ett bestämt ändamål. Detta är av betydelse inte bara för att förhindra att registrets användning medför otillbörligt intrång i de registre- rades personliga integritet utan också för att sekretesskyddade uppgifter skall kunna lämnas ut till registret. Man bör alltså försöka att skilja mellan vård-och behandlingsregister, forsknings- och statistikregister resp. admi- nistrativa personregister. Från integritetssynpunkt är det i allmänhet att föredra att den registeransvarige har flera mindre än ett enda stort person- register.
Vi förordar alltså databaser eller informationssystem som innehåller flera mindre personregister där varje register förs för ett bestämt ändamål för ett förhållandevis litet antal användare framför ett större register där
man måste samla in och blanda flera slags uppgifter för att tillgodose olika ändamål och ett stort antal användare. Med flera mindre register i en databas är det ofta lättare att leva upp till datalagens och sekretesslagens krav jämfört med vad som är fallet om uppgifterna samlas i ett enda stort register, bl. a. när det gäller inhämtande av uppgifter till ett register, skyddet av uppgifterna i registret och utlämnande av uppgifter från regist- ret, om hanteringen skall ske under betryggande former.
.1 -' -- ., .; *?” fwåli' )—
. »r'
i""f'? , w w
| . ,'l
i..."
”%%-Lä ! . nu,
» vw .;
åt:.-
7. Reservation och särskilda yttranden
Reservation av ledamöterna Birgit Friggebo, Gunnar Hökmark och Olof Johansson
Enligt vår mening bör den enskildes rätt till ett skyddat privatliv stå i förgrunden för det lagstiftningsarbete som berör den enskildes integritet. Utgångspunkten bör vara att det är den enskilde som har rätten till de egna personuppgifterna.
Inom hälso- och sjukvården är det särskilt viktigt att den enskilde med förtroende kan lämna ifrån sig känsliga uppgifter. Det är inte bara uppgif- ternas integritetskänsliga natur som understryker detta rättmätiga krav utan också den enskildes förtroende för hälso- och sjukvården samt ytterst också dess effektivitet.
Människor känner i dag om inför myndigheternas uppgiftsinsamlande. [ en SCB-undersökning som presenterades i början av 1985 framkom att 67 procent av de tillfrågande är oroade av myndigheternas möjligheter att med hjälp av data kontrollera dem.
Denna oro och irritation bekräftades på nytt i samband med att ett antal forskningsregister, som innehåller sekretesskyddad och integritetskänslig information kom till allmänhetens kännedom i början av 1986. Denna reaktion är ett uttryck för hur medborgarna i dag känner bristande förtro- ende för hanteringen av insamlad information.
Allmähetens oro har saklig grund. Skyddet av den enskildes integritet är i dag för svagt. DOK konstaterar dessutom i sitt delbetänkande att sekre- tesslagen inom det område som utredningen har granskat inte är förenlig med gällande rätt. En stor del av uppgiftslämnandet från ett antal regionala och centrala register inom hälso- och sjukvården torde ha skett utan lagligt stöd.
Tillämpningen måste enligt vår mening göras förenlig med de krav som sekretesslagen ställer. Men det kan inte vara Data- och Offentlighetskom- mitténs uppgift att genom lagförslag söka ändra sekretesslagen så att nuvarande tillämpning blir gällande rätt.
Vi reserverar oss därför mot utredningens förslag till ändringar av sekre- tesslagen.
Förslaget innebär att man utifrån sekretesslagens synvinkel öppnar för ett uppgiftslämnande som idag inte är förenligt med gällande rätt. De angivna ändamålen forskning och statistik är dessutom så allmänna, att
man inte kan skapa sig någon bild av vad denna öppning i sekretesslagen innebär för den enskilde.
Vi anser att DOK istället borde ha föreslagit att centrala offentliga register med integritetskänsliga uppgifter skall regleras i särskild lag. Där- med kan riksdagen fatta beslut om sådana register. Då bör avgöras också om sekretessen skall vika, när den enligt nuvarande lagstiftning omöjliggör uppgiftsutlämnande från hälso- och sjukvårdens olika myndigheter.
Genom en särskild lag skapas en bättre kunskap och kännedom om det enskilda registret. Integritetsskyddet och tillämpningen av sekretessen kan granskas bättre på detta sätt. Ett flertal av remissyttrandena till patient- journalutredningen framförde förslag om att centrala register inom hälso- och sjukvården på detta vis borde författningsregleras. Trots att DOK pekar på dessa möjligheter, bland annat genom att i betänkandet hänvisa till en skiss till en sådan lag som återfinns i betänkandets bilaga 7, har man ändå valt att föreslå en försvagning av sekretesslagen.
Känsliga personuppgifter används i dag ofta i andra sammanhang än de för vilka de insamlats och som den enskilde knappast kan ha kännedom om.
Genom lagreglering av centrala register får medborgaren en bättre över- blick när det gäller var uppgifter om honom själv finns och för vilket ändamål som uppgifterna insamlas. Genom ett förfarande med informerat samtycke vid utlämnandet av uppgifterna från särskilt integritetskänsliga register skulle en ökad säkerhet skapas för den enskilde. Han eller hon skulle därigenom återfå kontrollen över de egna personuppgifterna.
Långsiktigt innebär den av oss föreslagna modellen bättre villkor för forskningen. Det är ingen bra situation när allmänheten upplever en miss- tro mot de myndigheter som insamlar uppgifter och mot den forskning som från den enskildes synpunkt kan komma att bedrivas med hjälp av upp— gifter om hans privatliv.
Redan i dag kan vi se tecken på att människor är ovilliga att lämna ifrån sig uppgifter. Detta gäller även inom hälso- och sjukvården. Långsiktigt skapar detta en dålig kvalitet i lämnade uppgifter, både som underlag för vård och forskning.
Det kan vidare finnas anledning att sätta frågetecken för att forsknings- och statistikändamålet rent allmänt skall gälla som motiv för att sekretes- sen skall vika. Forskning och statistik är mycket vida begrepp. Uppgifter som är insamlade för ett visst preciserat ändamål är förmodligen mer användbara än sådana uppgifter som samlats in för mer allmänna och diffusa ändamål. Med informerat samtycke vid användandet av insamlade uppgifter ökar förutsättningen för en god kvalitet på det uppgiftsmaterial som används i forskningen.
Enligt vår uppfattning kan inte förslagen i föreliggande delbetänkande förbli opåverkat av DOK:s fortsatta arbete, t. ex. vad gäller begränsning av personnumrens användning.
Särskilt yttrande av ledamoten Gunnar Hökmark
Den registrerades möjligheter att få felaktiga eller missvisande uppgifter rättande. är beroende av att han lätt kan komma i kontakt med någon hos dem som för registret, samt att denne tillser att rättelsen blir utförd. Mot denna bakgrund är DOK:s förslag om att den registeransvarige skall utse en dataansvarig en förbättring utifrån dagens situation. Av detta skäl biträderjag kommitténs förslag.
Felaktiga uppgifter och svårigheter att få dessa rättade är emellertid inte bara beroende på svårigheten att komma i kontakt med en människa ”av kött och blod” utan är framförallt beroende på systemets uppbyggnad och utveckling i dess helhet.
Ansvaret för att informationssystemen innehåller korrekta uppgifter och för att system- och programutveckling följer, inte bara de krav datalagen ställer utan också de ändamål och föreskrifter som angivits i licenser och tillstånd. är betydligt vidare än det ansvar som kan läggas på den dataan- svarige, som främst är en kontaktfunktion för den registrerade.
Förslaget om en dataansvarig innebär att man i lag reglerar hur den registeransvarige ska leva upp till vissa av de krav som datalagen redan idag ställer, i stället för att ett klarare ansvarsförhållande skapas för att datalagen i sin helhet efterlevs.
Det kan ifrågasättas om man därmed uppnår den bästa lösningen för olika register. För stora dataregister kan en dataansvarig vara otillräcklig, för små kan den innebära onödig byråkrati.
Det hade därför varit bättre om DOK hade utrett hur det övergripande ansvaret för ett register skulle kunna läggas på en person i ledande befatt- ning hos den registerförande med möjlighet att påverka de grundläggande rutinerna och villkoren för registerhanteringen. Detta skulle man kunna uppnå genom att den registeransvarige hade att utse en ansvarig register- förare med ett personligt ansvar gentemot datalagen och den registrerade, eller genom att den registeransvarige förutsattes vara en fysisk person i ledningen för den myndighet, organisation eller det företag som för regist- ret.
Frågan om det övergripande ansvaret för att registret uppfyller datala- gens krav är en något vidare frågeställning än hur rättelse ska genomföras. Det är därför min avsikt att i det fortsatta utredningsarbetet återkomma till denna fråga.
Särskilt yttrande av experten Gun Neuman
Kommittén föreslår att en särskilt dataansvarig utses som övervakar att rättelse, ändring och uteslutning av personuppgifter i personregister kom- mer till stånd. Förslaget innebär en skyldighet att utse dataansvarig både inom den offentliga och inom den privata sektorn. Kommittén har inte gjort någon utvärdering av behovet av en sådan dataansvarig inom den privata sektorn. På den offentliga sidan är emellertid behovet väl doku- menterat t.ex. genom JO:s påpekanden till kronofogde- och skattemyn- digheter. *
Kommittén har eftersträvat en likabehandling av företag och myndighe- ter. En sådan jämförelse är möjlig när det gäller interna personregister. I dessa fall torde emellertid de anställda hos såväl företag och myndigheter utan att någon särskild dataansvarig utses vara helt på det klara med hur rättelse ska ske.
Förhållandet blir annorlunda när allmänheten ska söka rättelse i ett register. Företagen lever i en konkurrenssituation och har alltså ett helt annat intresse av att rätta ett fel än en myndighet. Företagets register har tillkommit för att skapa ett kundförhållande inte för myndighetsutövning. Det finns därför ingen som helst anledning att i lag påpeka hur man på den privata sidan bör ordna sin verksamhet. I den mån företagen för kundregis- ter har de dessutom i de flesta fall erhållit uppgifterna från den offentliga sektorn som tillhandahållit dem mot betalning.
Det hade däremot varit angeläget för kommittén och mer i linje med direktiven att hårdare understryka de krav på service till allmänheten som åvilar myndigheterna för att därigenom öka rättssäkerheten i samhället.
l i ! !
Bilaga 1
Kommittédirektiv
Användningen av personnummer Dir. 198427 Beslut vid regeringssammanträde 1984-05-24.
Chefen för justitiedepartementet, statsrådet Wickbom, anför.
Sammanfattning
Många människor är i dag kritiska mot den utbredda användningen av personnummer. En del är oroliga för att personnumret kan utnyttjas så att det medför otillbörligt intrång i den personliga integriteten. Detta gäller t.ex. när personnummer används i ADB-stödda register. Andra reagerar mot vad de upplever som en onödig användning av personnummer, t.ex. att man måste uppge personnummer för att få utnyttja ett trafikbolags månadskort eller för att få låna en bok från ett bibliotek.
Mot denna bakgrund föreslår jag att en parlamentariskt sammansatt kommitté tillkallas för att utreda användningen av personnummer i samhället, både inom den offentliga och den enskilda sektorn. Utredningen bör kartlägga den nuvarande användningen och belysa de fördelar och nackdelar som är förenade med bruket av personnummer. Utredningen bör bl.a. granska om användningen av personnummer kan medföra otillbörligt intrång i den personliga integriteten.
Finner utredningen att en viss användning av personnummer kan medföra risk för integritetskränkningar bör den ta ställning till hur detta hot skall kunna avvärjas och föreslå lämpliga åtgärder.
Bakgrund
Redan år 1947 infördes i Sverige ett system med födelsenummer. Syftet var framför allt att tillgodose behovet av ett mera entydigt, lättillgängligt och lätthanterligt hjälpmedel för identifiering av personer än personnamnet. Födelsenumret sammanfördes med uppgift om födelsetiden till ett niosiffn'gt nummer som användes som identitetsbeteckning. Detta nummer kallades vanligen folkbokföringsnummer.
Folkbokföringsnumret utnyttjades som hjälpmedel vid identifiering bl.a. i folkbokföringen, befolknings— och socialstatistiken och vid samsorteringen av deklarationsblanketter och löneuppgifter. Vid sidan av folkbokförings-
Dir 1984:27
numret utnyttjades emellertid också i början andra identifieringsbegrepp såsom inskrivningsnummer, anställningsnummer och kundnummer.
Successivt tick folkbokföringsnumret en ökad användning. Det blev t.ex. vämpliktsnummer och fick med tiden funktionen att vara ett enhetligt identifieringsbegrepp inom ett flertal samhällsområden.
Till folkbokföringsnumret lades år 1968 en s.k. kontrollsiffra för att man skulle få möjlighet att kontrollera numrets riktighet med hjälp av ADB. [ samband därmed gavs numret den lagfästa beteckningen personnummer.
Enligt 7 & folkbokföringsförordningen (1967:198) och 4 & folkbokförings— kungörelsen (1967z495) skall ett personnummer fastställas för varje person som kyrkobokförs i Sverige. Länsstyrelserna fastställer personnummer för nyfödda. Andra kategorier tilldelas ett personnummer av riksskatteverket. Detta gäller personer som har invandrat till Sverige och även vissa icke kyrkobokförda personer.
Personnumret anger en persons födelsetid och innehåller vidare födelse- numrct och en kontrollsiffra. Födelsetidsdata anges med två siffror för år, två för månad och två för dag. Födelsenumret består av tre siffror ur nummerserien 001—999. Födelsenumret är udda för män och jämnt för kvinnor. De som är födda samma dag tilldelas olika födelsenummer. Personnumret avslutas med kontrollsiffran.
Den nuvarande användningen av personnummer
Personnumret används framför allt som hjälpmedel vid identifiering av personer. Det är också vanligt att personnumret används som sökbegrepp i ADB-stödda personregister och som kopplingsbcgrepp när man vill samköra flera personregister.
Jag har redan sagt att personnumren utnyttjas i folkbokföringen. En omfattande användning av personnummer förekommer också inom andra delar av den offentliga sektorn, t.ex. inom skatteförvaltningen, hälso- och sjukvården och socialtjänsten. Även inom den enskilda sektorn används personnumren i betydande omfattning.
Ett flertal författningar innehåller regler om att personnummer skall eller bör anges i inlagor till myndigheter. Som exempel kan nämnas bestämmelser om taxering, skatt och upphörd, tull, prisreglering, folk- och bostadsräkning, val, förundersökning, rättegång, lagsökning, utmätning. ordningsvakter, pass, jakt, vapen, inkassoverksamhet, kreditupplysning, arbetslöshetsför- säkring, försäkringsrörelse, aktiebolag, utländska förvärv av svenska företag och fast egendom i Sverige, handel med skrot och begagnade varor, yrkestrafik, transportförmedling, biluthyrning och körkort.
I andra sammanhang inom såväl den offentliga som den enskilda sektorn kan krav på personnummer grundas på avtal av olika slag. Det förekommer inte sällan att den som beställer en vara eller tjänst krävs på uppgift om sitt personnummer. Den enskildes möjlighet att avstå från att uppge sitt personnummer är i praktiken ofta begränsad, om han vill ha varan eller tjänsten.
Som ett resultat av att uppgifter om personnummer lämnas till myndig- heter, företag etc. förekommer sådana uppgifter i ett stort antal ADB- register både inom den offentliga och den enskilda sektorn.
Inom den offentliga sektorn förs register med personnummer över t.ex. skattskyldiga, fastighetsägare, vissa funktionärer i aktiebolag, bilägare, körkortsinnehavare, straffade, patienter, blodgivare, bostadssökande och elabonnenter.
Inom den enskilda sektorn förs register med personnummer över t.ex. anställda, köpare, prenumeranter, hyresgäster, leverantörer, kontokortsin- nehavare och föreningsmedlemmar.
Personnummer och liknande identitetsbeteckningar förekommer inte bara i Sverige utan också i många andra länder.
I Spanien har personnummer använts sedan 1930-talet och i Frankrike sedan 1940—talet. I Danmark, Finland och Norge utnyttjas personnummer på liknande sätt som i Sverige sedan 1960-talet. I USA används socialförsäk- ringsnumret på motsvarande sätt som personnummer. Också flera mellan- europciska länder har eller förbereder införande av system med personnum- mer.
Förbundsrepubliken Tyskland, Storbritannien och Kanada tillhör de nationer som inte använder personnummer eller något annat numeriskt, enhetligt och entydigt identifikationsbegrepp som motsvarar personnum- mer.
Tillgången till personnummer
Bestämmelser till skydd mot otillbörligt intrång i den personliga integri- teten finns bl.a. i sekretesslagen (1980:100) och datalagen (1973z289).
Det är lätt att ta reda på någon annan persons personnummer. Den som vill kontrollera sitt personnummer eller ta reda på någon annans personnummer kan som regel få uppgift om numret genom att vända sig till en myndighet inom folkbokföringen, t.ex. pastorsexpeditionen eller länsstyrelsen. Uppgift om personnummer på hela eller delar av befolkningen kan man i princip också få från det ADB-baserade statliga person- och adressregistret (SPAR).
Visserligen gäller sekretess enligt 7 kap. 15 & sekretesslagen i verksamhet som avser folkbokföringen eller annan liknande registrering av befolkning- en, t.ex. SPAR, för uppgift om en enskilds personliga förhållanden. En förutsättning för att sekretess skall gälla är emellertid att det av särskild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Folkbokföringssekretessen torde endast i undantagsfall omfatta uppgift om personnummer.
Däremot kan sekretess gälla för uppgift om personnummer, om man vänder sig till en annan myndighet med en begäran att få reda på någon annan persons personnummer. T.ex. gäller sekretess under vissa förutsättningar enligt 7kap. 1 eller 45 sekretesslagen inom hälso- och sjukvården och socialtjänsten för uppgifter om en enskilds personliga förhållanden. Till sådana skyddade uppgifter kan bl.a. räknas anteckningar om en patients eller klients personnummer. Skälet till att sekretessen gäller här är emellertid inte uppgiften om personnumret som sådan utan denna uppgift i kombination med att den finns på t.ex. en viss sjukvårdsinrättning.
Begränsningar i användningen av personnummer
Det finns i princip inte några bestämmelser i lag eller förordning som förbjuder eller begränsar användningen av personnummer. Inte heller i datalagen finns det några bestämmelser som direkt tar sikte på att förbjuda eller begränsa användningen av personnummer i ett personregister. Detta innebär emellertid inte att det är fritt fram att t.ex. samköra personregister med hjälp av personnummer. För samkörning av olika personregister krävs nämligen i princip tillstånd av datainspektionen.
Datainspektionen har enligt 15 & första stycket datalagen till uppgift att utöva tillsyn över att automatisk databehandling inte medför otillbörligt intrång i den enskildes personliga integritet. Att flertalet av de uppskatt- ningsvis mer än 50 000 personregister som i dag finns i Sverige innehåller uppgift om de registrerades personnummer har hittills inte ansetts vara särskilt integritetskänsligt.
Det har i allmänhet inte heller uppfattats som ett hot mot den personliga integriteten att personnummer används som sökbegrepp i ett register eller som kopplingsnyckel vid samkörning av flera personregister. Däremot kan en samkörning i sig själv medföra risk för integritetskränkningar, oavsett vilken kopplingsnyckel som används. I 2 5 andra stycket 4 datalagen föreskrivs därför att tillstånd av datainspektionen i princip krävs för att inrätta och föra personregister som skall innehålla personuppgift som inhämtas från något annat personregister. Bestämmelsen innebär alltså att det normalt fordras tillstånd för samkörning av personregister.
Vid tillståndsprövningen skall enligt 35 andra stycket datalagen bl.a. särskilt beaktas arten av de personuppgifter som skall ingå i det register som bildas genom samkörningen.
Lämnar datainspektionen tillstånd till samkörning, skall den enligt 65 första stycket datalagen meddela särskilda föreskrifter, om det behövs för att förebygga risk för otillbörligt intrång i någons personliga integritet. Datainspektionen kan exempelvis meddela föreskrifter om hur personnum- mer får användas i ett register eller helt förbjuda viss användning.
När det gäller kundregister har datainspektionen meddelat en generell bestämmelse om användningen av personnummer. I inspektionens författ— ningssamling (DIFS 197913) föreskrivs beträffande kundregister att den registrerades personnummer inte får lämnas ut i vidare mån än som behövs för att tillgodose ändamålet med registret. Om uppgiften blir tillgänglig i visuellt läsbar form utanför den egna verksamheten, t.ex. i samband med postbefordran, skall den registeransvarige särskilt beakta att detta inte sker i onödan eller på ett sätt som är ägnat att väcka oro eller förargelse.
Datalagstiftningskommitténs förslag år 1978
Redan under 1970-talet uppmärksammades att samkörning av olika personregister kunde medföra risk för otillbörligt intrång i den personliga integriteten. I debatten pekade man bl.a. på att risken för integritetskränk- ningar hade ökat i och med att tekniken utvecklats så att det blivit förhållandevis lätt att samköra olika register med hjälp av personnummer.
Den enskilde kunde i fortsättningen inte vara säker på att uppgifter som han hade lämnat om sig i ett sammanhang inte skulle komma att användas för helt andra syften eller ställas samman med andra uppgifter för att skapa en "totalbild" av honom.
I syfte att förhindra eller försvåra samkörning framfördes därför krav på att användningen av personnummer i personregister skulle begränsas eller helt slopas. Kritikerna ansåg att identifieringen i personregistren inte nödvändigtvis behövde ske med hjälp av personnummer. Andra identitets- beteckningar kunde väljas för många register, t.ex. kundnummer eller inskrivningsnummer. Om man undvek att använda en enhetlig identitetsbe- teckning, skulle samkörning av personregister omöjliggöras eller åtminstone försvåras hävdade man. Den enskilde skulle inte behöva frukta att en "totalbild" av honom skapades genom samkörning av olika register.
Datalagstiftningskommittén (DALK) behandlade frågan om samkörning och användning av personnummer i samband med en översyn av datalagen i betänkandet (SOU 1978:54) Personregister—datorer—integritet.
I betänkandet korn DALK fram till att samkörningar inte på något avgörande sätt skulle hindras, om personnumren slopades i personregistren. Att förbjuda användningen av personnummer i sådana register skulle visserligen på kort sikt försvåra möjligheterna till samkörning, men efter någon tid skulle de tekniska förutsättningarna för samkörning med hjälp av andra identifierande uppgifter, t.ex. namn och adress, föreligga i samma omfattning som tidigare. Ett förbud mot att använda personnummer vid automatisk databehandling skulle också leda till stora kostnadsökningar och andra olägenheter. Kommittén var därför inte beredd att föreslå något förbud eller någon omfattande begränsning i användningen av personnum- mer i personregister.
Rernissbehandlingen av betänkandet visade att det bland remissinstanser- na förelåg en allmän enighet om att användningen av personnummer i personregister inte borde begränsas på något avgörande sätt.
Den dåvarande justitieministem uttalade i prop. 1978/79: 109 om ändring i datalagen att DALK hade anfört övertygande skäl mot att begränsa användningen av personnummer. Han pekade särskilt på att en begränsning av användningen skulle kunna få effekter som i själva verket motverkade syftet att skydda den personliga integriteten. Bl.a. skulle riskerna för personförväxlingar öka avsevärt. Även om det enligt hans mening alltså inte fanns skäl att begränsa användningen av personnummer i registren, ansåg han att det i vissa fall kunde vara befogat att begränsa användningen av personnummer i uppgifter som lämnas ut från ADB-register. Begränsningar i det hänseendet kunde åstadkommas redan med stöd av gällande bestäm- melser.
Vid riksdagsbehandlingen av propositionen hemställde konstitutionsut- skottet (KU 1978/79:37) att riksdagen skulle bifalla propositionen. Riksda— gen följde utskottets förslag.
Fördelar och nackdelar med personnummer
Användningen av personnummer innebär både fördelar och nackdelar. Den största fördelen består i att personnumret är ett enhetligt och för varje
person unikt identifikationsbegrepp. Personnumret är alltså ett effektivt hjälpmedel när det gäller att förebygga förväxlingar mellan personer, vilket är av betydelse från bl.a. rättssäkerhetssynpunkt. I den meningen innebär personnumret ett skydd för den personliga integriteten.
En annan fördel med personnumret är att man inte behöver hålla reda på många olika identifikationsbegrepp, t.ex. kundnummer, inskrivningsnum- mer och anställningsnummer. Detta gynnar både den enskilde: och de myndigheter, företag etc. som använder personnummer.
Ytterligare en fördel med personnumret som identifikationsbegrepp är att detär lätt för en registeransvarig att hålla uppgifterna i registret aktuella med hjälp av uppgifter från andra personregister, t.ex. genom aviseringar om adressförändringar från länsstyrelsernas folkbokföringsregister eller från SPAR. Detta innebär också att den enskilde i många fall kan befrias från besväret att göra anmälan om adressändring.
I allmänhet torde användningen av personnummer också bidra till att minska kostnaderna för administrationen av personregistren, något som i sin tur är ägnat att medföra lägre kostnader även för den enskilde.
Men användningen av personnummer innebär också vissa nackdelar. Den kanske största nackdelen är att många människor känner oro för att personnumret kan komma att användas på ett sätt som medför otillbörligt intrång i den personliga integriteten, t.ex. genom att personnumret på ett enkelt sätt kan användas som kopplingsnyckel för samkörning av flera personregister, vilket skapar möjligheter till kontroll av den enskilde individen i olika hänseenden.
Den enskilde kan också uppfatta det som en nackdel att personnumret är informationsbärande, t.ex. att ålder framgår av personnumret.
Vidare kan personnumret inbjuda till övertro på dess tillförlitlighet som enda identifikationsbegrepp. Man kan felaktigt tro att en kontroll av identiteten inte behöver göras också med t.ex. namn, adress och födelseort. I detta sammanhang bör man hålla i minnet att det trots kontrollsiffran i personnumret ändå inte alltid är möjligt att vid databehandling upptäcka felaktiga, men formellt rimliga personnummer.
Fortsatt kritik mot användningen av personnummer
Kritiken mot vad många människor upplever som en integritetskänslig eller onödig användning av personnummer inom den offentliga och den enskilda sektorn har tagit ny fart under 1980-talet. Krav har på nytt rests om att användningen av personnummer skall förbjudas eller begränsas.
Kritiken mot bruket av personnummer har kommit till uttryck i den allmänna debatten bl.a. genom tidningsartiklar och programinslag i radio och TV. Människors oro för användningen av personnummer har också understrukits genom brev och telefonsamtal till bl.a. justitiedepartemen- tet.
Frågan om att förbjuda eller begränsa integritetskänslig eller onödig användning av personnummer har vidare aktualiserats genom frågor och motioner i riksdagen (jfr frågorna 1983/84:393, 440 och 444 samt mot. 1983/84:433, 937, 1391, 1393, 2068 och 2069). Konstitutionsutskottet har ännu inte tagit ställning till motionerna.
Utredningsuppdraget
Mot den angivna bakgrunden föreslår jag efter samråd med chefen för finansdepartementet att frågan om användningen av personnummer nu utreds. Uppdraget bör anförtros åt en parlamentariskt sammansatt kommit- té.
En primär uppgift för kommittén bör vara att kartlägga användningen av personnummer i samhället, både inom den offentliga och den enskilda sektorn.
Genom kartläggningen bör belysas i vilken utsträckning myndigheter, företag och andra använder personnummer i sin verksamhet och hur personnumren utnyttjas.
De fördelar och nackdelar som är förenade med bruket av personnummer inom olika verksamhetsområden bör beskrivas och analyseras. Kommittén bör särskilt uppmärksamma om användningen av personnummer på vissa områden eller i vissa fall har medfört otillbörligt intrång i den personliga integriteten.
Med denna kartläggning som underlag bör kommittén ta ställning till om användningen av personnummer inom den offentliga och den enskilda sektorn i något avseende kan utgöra ett hot mot den personliga integrite- ten.
Finner kommittén att viss användning av personnummer kan medföra risk för integritetskränkningar, bör den ta ställning till hur detta hot skall kunna awärjas och föreslå lämpliga åtgärder under hänsynstagande till andra intressen, t.ex. kraven på rättssäkerhet och effektivitet ioffentlig och enskild verksamhet. Vad som i första hand kan komma i fråga är att begränsa användningen av personnummer och att inskränka möjligheten att få tillgång till uppgifter om personnummer. _
Kommittén bör därvid undersöka om några av de författningar med bestämmelser som innehåller krav på uppgift om personnummer bör ändras.
Vidare bör kommittén överväga om det kan finnas skäl att på grund av personnummeranvändningen föreslå ändringar eller kompletteringar av de regler som i dag gäller till skydd för den personliga integriteten. Jag tänker härvid i första hand på bestämmelserna i datalagen och sekretesslagen.
Om kommittén skulle komma fram till att det finns skäl att införa restriktioner av ett eller annat slag, torde det ligga närmast till hands att föreslå begränsningar i fråga om användningen av personnummer och skyldigheten att uppge personnummer. Däremot torde det av både principiella och praktiska skäl vara svårare att införa begränsningar i fråga om möjligheterna att få tillgång till uppgifter om andra människors personnummer, dvs. att i någon större utsträckning föreskriva sekretess för uppgift om personnummer.
Kommittén bör särskilt studera om det finns behov av att införa begränsningar i användningen av personnummer inom den enskilda sektorn. T.ex. bör kommittén överväga om det kan vara befogat att med stöd av den marknadsrättsliga lagstiftningen begränsa möjligheten för näringsidkare att kräva uppgift om personnummer vid t.ex. avtal om köp av en tjänst eller en vara.
Väljer kommittén att föreslå begränsningar i fråga om användningen av
eller tillgången till personnummer i något avseende, bör kommittén samtidigt ta ställning till hur de olägenheter som kan uppkomma genom sådana inskränkningar bör undanröjas eller lindras. Det kan därvid bli aktuellt att undersöka om det är praktiskt möjligt och lämpligt att ersätta personnumret med andra identitetsbeteckningar, t.ex. i personregister och avtal. Kommittén bör också belysa vilka praktiska och ekonomiska konsekvenser som inskränkningarna kan medföra på olika områden.
Vidare bör kommittén visa hur eventuella förslag som innebär ökade offentliga utgifter eller inkomstminskningar kan finansieras. Detta bör ske genom att kommittén anger hur rationaliseringar och omprövningar kan göras inom aktuella områden så att förslagen kan genomföras med oförändrade eller minskade resurser.
Kommittén bör vara oförhindrad att ta upp även andra frågor som har samband med användningen av personnummer.
Kommittén bör samråda med 1983 års folkbokföringskommitté (Fi 1983z04).
Som ett led i sitt kartläggningsarbete bör kommittén vidare studera användningen av personnummer i de andra nordiska länderna.
Kommittén bör bedriva sitt arbete skyndsamt. Arbetet bör i varje fall slutföras inom två år.
Hemställan
Med hänvisning till vad jag nu har anfört hemställer jag att regeringen bemyndigar chefen för justitiedepartementet
att tillkalla en kommitté med högst nio ledamöter med uppdrag att utreda frågan om användningen av personnummer i samhället,
att utse en av ledamöterna att vara ordförande, att besluta om sakkunniga, experter, sekreterare och annat biträde åt kommittén.
Vidare hemställer jag att regeringen beslutar att kostnaderna skall belasta andra huvudtitelns kommittéanslag.
Beslut
Regeringen ansluter sig till föredragandens överväganden och bifaller hans hemställan. (J ustitiedepartementet)
Bilaga 2
Kommittédirektiv
Dir 1984z48
Tilläggsdirektiv till data- och offentlighetskommittén (Ju l984:06)
Dir 1984148 Beslut vid regeringssammanträde 1984-12-13.
Chefen för justitiedepartementet, statsrådet Wickbom, anför.
Sammanfattning
Under senare år har användningen av ADB inom den offentliga sektorn blivit alltmer utbredd. Detta har medfört vissa problem vid tillämpningen av bestämmelserna om allmänna handlingars offentlighet. Problemen hänger framför allt samman med att tryckfrihetsförordningens (TF:s) bestämmelser härom är utformade i första hand med tanke på traditionella pappersdoku- ment.
Mot denna bakgrund föreslår jag att data- och offentlighetskommittén (DOK), som utreder användningen av personnummer i samhället, också får i uppdrag att utreda de problem som är förenade med offentlighetsprincipens tillämpning på ADB-upptagningar.
En central uppgift för kommittén bör vara att undersöka hur TF:s bestämmelser om allmänna handlingar har fungerat vid tillämpningen på ADB-upptagningar och att föreslå de ändringar som kan vara befogade. Kommittén bör särskilt överväga åtgärder för att stärka offentlighetsprinci- pen när det gäller dess egentliga syfte att ge medborgarna möjligheter till kontroll och insyn i myndigheternas verksamhet.
Vidare bör kommittén överväga om det finns skäl att begränsa möjlighe- terna att få ut uppgifter från myndigheterna för andra ändamål, t.ex. att göra massuttag ur ADB-register för kommersiella syften.
Bland andra frågor som kommittén skall ta upp kan nämnas frågan om rättelse av felaktiga uppgifter i ADB-register och om rätten till skadestånd när ett ADB-register innehåller oriktiga uppgifter.
1 Bakgrund 1.1 En kort historik
Principen att alla medborgare har rätt att ta del av myndigheternas handlingar infördes i Sverige redan i mitten av 1700-talet. De grundläggande bestämmelserna om offentlighetsprincipen finns nu i 2 kap. tryckfrihetsför- ordningen (TF. omtryckt 1982z941). I 2kap. 1 5 TF föreskrivs att varje svensk medborgare till främjande av ett fritt meningsutbyte och en allsidig upplysning skall ha rätt att ta del av allmänna handlingar.
Allmänhetens rätt att ta del av material hos myndigheterna har från början gällt "handlingar". Med detta begrepp har i första hand avsetts pappersdo- kument men genom 1949 års TF klargjordes att det också omfattade kartor, ritningar och bilder. Hur man skulle betrakta tekniska upptagningar, t.ex. fonogram, framgick däremot inte av grundlagen. Enligt ett JO—beslut från mitten av 1950-talet var fonogram inte att anse som handlingar (JO:s ämbetsberättelse 1955 s. 177). Utvecklingen i praxis innebar emellertid en utvidgning av handlingsbegreppet. I avgöranden av regeringsrätten tolkades begreppet så att det omfattade också ADB- upptagningar (regeringsrättens årsbok 1965 ref. 25. 1969 ref. 11 och 1971 ref. 15).
Efter förslag av offentlighets- och sekretesslagstiftningskommittén (OSK) i betänkandet (SOU 1972:47) Data och integritet infördes år 1973—1974 nya bestämmelseri TF om offentlighetsprincipens tillämpning på ADB- upptag- ningar (prop. 1973z33, KU 1973:19 och 19742. SFS 1974:66). Samtidigt antogs datalagen (1973z289). Grundlagsändringarna innebar i pnncip att samma regler som gällde för handlingar av traditionell typ skulle tillämpas på ADB-upptagningar och andra tekniska upptagningar. Vissa särregler för ADB-upptagningar infördes dock.
På grundval av ett nytt förslag av OSK i betänkandet (SOU 1975:22) Lag om allmänna handlingar fick TF:s regler om allmänna handlingars cffentlig- het en helt ny lydelse fr.o.m. den ljanuari 1978 (prop. 1975/76:160, KU 1975/76z48 och 1976/7711, SFS 1976:954). I sak låg de nya reglerna nära vad som gällde tidigare. Vissa ändringar gjordes dock i reglerna om ADB- upptagningar, vilket bl.a. innebar ökad insyn i myndigheternas verksamhet. De bestämmelser som infördes då är i allt väsentligt oförändrade . dag.
I samband med 1976 års ändringar i TF bestämdes att vissa frågor om offentlighetsprincipens tillämpning på ADB-lagrad information skulle utre- das vidare. Detta uppdrag lämnades till datalagstiftningskommittén (DALK), som också hade till uppgift att behandla frågor om skyddet för den personliga integriteten vid personregistrering med hjälp av ADB.
DALK lade år 1980 fram delbetänkandet (SOU 1980:31) Offentlighets- principen och ADB. I betänkandet utgick kommittén från att hanclingsof— fentligheten i princip skulle ha samma innebörd som tidigare. Kommittén föreslog inte några ändringar i 2 kap. TF men presenterade ett förslag till lag om enskilds rätt att ta del av upptagning för automatisk databehandling m.m.
I prop. 1981/82:37 om offentlighetsprincipen och ADB föreslog; en rad olika åtgärder för att förstärka offentlighetsprincipen. Till grind för propositionen låg DALK:s förslag. som dock hade omarbetats väsentligt. Någon motsvarighet till DALK:s lagförslag lades inte fram. Istället föreslogs
nya bestämmelser i sekretesslagen (1980:100) om allmänhetens tillgång till myndigheternas upptagningar för ADB. Propositionsförslagen antogs av riksdagen våren 1982 (KU 1981/82:21. rskr 163). De nya bestämmelserna i sekretesslagen (Seer) trädde i kraft den 1 juli 1982 (SFS 1982:183). Samtidigt gjordes ändringar i allmänna verksstadgan (1965:600) och några andra regeringsförfattningar (SFS 1982z272—275).
1.2. Nuvarande ordning
2 kap. TF innehåller bestämmelser dels om vilka slag av handlingar som skall anses som allmänna och därmed i princip vara tillgängliga för allmänheten. dels om hur sådana handlingar skall tillhandahållas den som vill ta del av dem. Vidare finns det i TF grundläggande bestämmelser om vilka begränsningar som får göras i handlingsoffentligheten. Närmare bestämmel- ser härom finns i sekretesslagen (1980:100, omtryckt 198211106). Sekretess- lagen innehåller också andra bestämmelser som kompletterar 2 kap. TF. bl.a. regler om skyldighet för myndigheterna att registrera allmänna handlingar och att lämna ut uppgifter till allmänheten.
Enligt 2 kap. 35 TF är en handling allmän. om den förvaras hos en myndighet och om den är att anse som inkommen till eller upprättad hos en myndighet. Med handlingar avses dels framställningar i skrift eller bild. dels upptagningar som kan läsas, avlyssnas eller uppfattas på annat sätt endast med tekniska hjälpmedel. Handlingsbegreppet omfattar alltså bl.a. ADB— upptagningar.
En upptagning anses enligt 35 andra stycket normalt förvarad hos en myndighet. om den är tillgänglig för myndigheten för överföring i sådan form att den kan läsas. avlyssnas eller uppfattas på något annat sätt. I de följande paragraferna preciseras när en handling är att anse som inkommen eller upprättad. Bl.a. föreskrivs att en upptagning anses inkommen till en myndighet. när någon annan har gjort den tillgänglig för myndigheten på det sätt som anges i 35 andra stycket.
I 2 kap. 12—1455 finns regler om tillhandahållande av handlingar. En begäran att få ta del av en allmän handling skall göras hos den myndighet som förvarar handlingen. När en sådan begäran har gjorts. skall myndigheten enligt huvudregeln — under förutsättning att handlingen inte är sekretessbe— lagd — utan avgift tillhandahålla handlingen på stället så att den kan läsas. avlyssnas eller uppfattas på annat sätt. Detta skall ske genast eller så snart det är möjligt. I en särskild bestämmelse föreskrivs dock att en myndighet inte är skyldig att tillhandahålla en handling på stället, om det möter betydande hinder.
Vidare har den som så önskar rätt att mot fastställd avgift få avskrift eller kopia av en handling. En myndighet är dock inte skyldig att lämna ut ADB-upptagningar i annan form än utskrift.
De nya bestämmelser som infördes år 1982 för att förbättra allmänhetens tillgång till upptagningar för ADB innebär bl.a. att allmänheten har rätt att under vissa förutsättningar själv använda myndigheternas terminaler för att ta del av uppgifter i allmänna handlingar (15 kap. 10 & Seer). Vidare har statskontoret fått till särskild uppgift att lämna andra myndigheter råd och upplysningar vid utformningen av ADB-system så att offentlighetsprincipens krav tillgodoses (SFS 1982z272—273).
1.3. Seipels utredning
Under förarbetena till 1982 års lagstiftning om offentlighetsprincipen och ADB framfördes från vissa håll önskemål om en generell översyn av de grundläggande principerna för handlingsoffentlighet, eftersom det hade visat sig att ADB-användningen medförde särskilda problem vid tillämpningen av TF:s begreppsapparat.
Mot bakgrund härav uppdrog regeringen åt Institutet för rättsinformatik vid Stockholms universitet att under ledning av professor Peter Seipel utföra en vetenskaplig undersökning rörande tillämpningen av offentlighetsprinci- pen vid myndigheternas användning av ADB.
Vid riksdagsbehandlingen av propositionen uttalade konstitutionsutskot— tet i sitt av riksdagen godkända betänkande 1981/82:21 att utskottet inte hade något att erinra mot att en förberedande probleminventering utfördes i den form som regeringen beslutat. Med hänsyn till ämnets vikt förutsatte utskottet emellertid att något förslag till lösning inte skulle föreläggas riksdagen förrän frågan också hade blivit penetrerad i en parlamentariskt sammansatt utredning.
Seipel har i september 1983 redovisat resultatet av undersökningen i en rapport med titeln Offentlighetens begrepp — TF, ADB och allmänna handlingar. '
En central slutsats i rapporten är att TF:s nyckelbegrepp visserligen är förknippade med vissa svårigheter men att det inte finns skäl att införa en ny begreppsapparat i TF. I stället bör man inrikta sig på att anpassa ADB-systemen till offentlighetsprincipen, dvs. att ge dem ”en god offent- lighetsstruktur".
Enligt rapporten föreligger det dock beträffande vissa speciella frågor sådana problem att man bör överväga lagändringar eller andra åtgärder relativt snart. Det gäller framför allt vissa problem som har samband med att ADB-tekniken ger allmänheten större möjligheter att få ut information från myndigheterna än konventionella handlingar, t.ex. genom massuttag och tillgång till omfattande faktadatabaser.
Seipels rapport har remissbehandlats. Utfallet är blandat. Vissa remissin- stanser delar uppfattningen att TF:s grundbegrepp inte behöver ändras, medan andra anser att det behövs regler som är bättre anpassade till de tekniska medierna än de nuvarande.
2 Allmänna överväganden
Av den redogörelse som jag har lämnat i föregående avsnitt framgår att frågan om offentlighetsprincipen och ADB har stått i blickpunkten ganska länge. Från statsmakternas sida har man under det senaste decenniet vidtagit en rad åtgärder för att se till att offentlighetsprincipen inte urholkas genom den tilltagande användningen av ADB.
En utgångspunkt har varit att allmänhetens rätt att få insyn i myndighe- ternas verksamhet inte skall vara beroende av vilket medel myndigheterna använder för sin informationshantering. Reformarbetet har därför inriktats på att så långt som möjligt jämställa ADB-upptagningar med konventionella handlingar.
För detta ändamål har, som jag tidigare redovisat, ändringar gjorts både i TF:s regler om allmänna handlingars offentlighet och i andra författningar, framför allt sekretesslagen. Enligt min mening har dessa ändringar varit ändamålsenliga, och de har också fungerat relativt bra i praktiken. Ändringarna har lett till att allmänheten i allt väsentligt har fått lika goda möjligheter till insyn i myndigheternas ADB-register som i pappersdoku- ment.
Det har emellertid visat sig att användningen av ADB trots allt har medfört en del svårigheter vid tillämpningen av offentlighetsprincipen. Svårigheterna torde till stor del kunna hänföras dels till de grundläggande skillnaderna mellan ADB-upptagningar och konventionella handlingar, dels till den snabba utveckling som har ägt rum på ADB-området.
Allmänhetens rätt att ta del av vanliga handlingar är knuten till handlingen som ett konkret föremål. När det gäller ADB-upptagningar är insynsrätten däremot inte knuten till något föremål utan till ett visst informationsinnehåll. En annan betydelsefull skillnad mellan ADB-register och konventionella handlingar är att ADB- register ger helt andra möjligheter att söka och ställa samman uppgifter än pappersdokument.
Dessa förhållanden har medfört att bestämmelserna om allmänna handlingars offentlighet i vissa avseenden har fått en annan innebörd när de tillämpas på ADB-upptagningar än vad de annars har. Under åberopande av offentlighetsprincipen kan enskilda från myndigheterna få ut sammanställ- ningar av uppgifter som det tidigare var mer eller mindre omöjligt att ta fram.
Utvecklingen av ADB-tekniken har på sitt sätt inneburit en förstärkning av offentlighetsprincipen genom att den har gett allmänheten ökade möjligheter till insyn i myndigheternas verksamhet. Men samtidigt har ADB-tekniken lett till att offentlighetsprincipen kan utnyttjas för ändamål som är främmande för dess' egentliga syfte att ge medborgarna insyn i och möjligheter till kontroll av myndigheternas verksamhet.
Efterhand som användningen av ADB har fått en allt vidare spridning hos myndigheterna har det också i praktiken visat sig att efterfrågan på uppgifter ur myndigheternas register har ökat, inte minst i form av framställningar om massuttag för kommersiella syften.
Mot denna bakgrund kan det ifrågasättas hur långt möjligheterna att få ut
- uppgifter under åberopande av offentlighetsprincipen egentligen bör sträcka sig. Härvidlag måste man bl.a. uppmärksamma att utlämnande av— uppgifter från myndigheterna kan komma i strid med andra viktiga intressen, t.ex. behovet av skydd för den enskildes integritet eller för affärshemliglreter.
Också i vissa andra avseenden har ADB-tekniken gett upphov till svårigheter vid tillämpningen av offentlighetsprincipen. Bl.a. innebär den maskinella hanteringen av information att det är mycket lätt att ändra och ta bort uppgifter som är införda i ett dataregister, vilket kan leda till problem bl.a. när det gäller myndigheternas diarieföring och arkivering av handling- ar.
De problem som jag nu har berört har ökat under senare år efterhand som ADB-tekniken har kommit till ökad användning inom den offentliga sektorn. Det kan förutses att den tilltagande användningen av ADB i varje fall inte kommer att leda till någon minskning av problemen.
Det är därför angeläget att man så snart som möjligt utreder de problem som finns. överväger i vad mån det behövs lagändringar och lägger fram förslag till åtgärder.
Mot bakgrund av det anförda föreslår jag att frågan om offentlighetsprin- cipens tillämpning på ADB-upptagningar utreds och att uppdraget ges åt data- och offentlighetskommittén (DOK). som nyligen har tillsatts för att utreda användningen av personnummer i samhället.
3. Utredningsuppdraget
En primär uppgift för kommittén bör vara att analysera grundlagsbestäm- melserna om offentlighetsprincipen och ADB, att undersöka hur de har fungerat i praktiken och att lägga fram förslag till de ändringar som kan behövas.
Kommittén bör också behandla en rad andra frågor, som jag skall ta upp i det följande. Kommittén bör emellertid ha relativt fria händer att gå in även på andra frågor som har anknytning till huvudfrågorna.
Kommittén bör särskilt överväga åtgärder för att stärka offentlighetsprin- cipen när det gäller dess egentliga syfte att ge medborgarna möjligheter till kontroll och insyn i myndigheternas verksamhet. En utgångspunkt bör härvid vara att allmänheten även i fortsättningen i princip skall ha tillgång till myndigheternas ADB- upptagningar i samma utsträckning som myndighe- terna själva.
För detta ändamål bör kommittén överväga åtgärder för att underlätta för allmänheten att utnyttja de insynsmöjligheter som offentlighetsprincipen ger. Jag vill särskilt understryka vikten av att myndigheternas ADB-system anpassas efter offentlighetsprincipen och inte tvärtom. Man bör alltså eftersträva att ADB-systemen ges en god offentlighetsstruktur.
Som bakgrund till kommitténs arbete vill jag också nämna att riksdagen helt nyligen har behandlat ett antal motioner med anknytning till kommitténs uppdrag. I betänkandet 1984/85z7 har konstitutionsutskottet tagit upp dels frågor om användning av personnummer och samkörning av dataregister o.d. , dels frågor om myndigheternas försäljning av ADB-uppgifter, rättelse av felaktiga uppgifter m.m.
Utskottet hänvisade vid sin behandling av motionerna dels till DOK:s pågående arbete, dels till de väntade tilläggsdirektiven om offentlighetsprin- cipen och ADB. I enlighet med utskottets hemställan beslöt riksdagen att motionerna skulle anses besvarade med vad utskottet anfört.
Med anledning av motionerna om samkörning av personregister m.m. vill jag erinra om att kommittén enligt sina ursprungliga direktiv skall föreslå åtgärder för att undanröja de risker för integritetskränkningar som användningen av ADB kan visa sig medföra. Bl.a. skall kommittén överväga om det finns skäl att föreslå ändringar i datalagens och sekretesslagens regler till skydd för den personliga integriteten.
De grundläggande bestämmelserna om offentlighetsprincipens tillämp- ning på ADB-upptagningar finns i 2 kap. TF. Genom de reformer som har
genomförts under 70-talet har de grundbegrepp som gäller konventionella handlingar gjorts tillämpliga också på ADB-upptagningar. Begreppen handling. förvarad. inkommen och upprättad används också om ADB- upptagningar.
Som har framhållits vid flera tillfällen i samband med de tidigare grundlagsändringarna är det angeläget att huvuddragen i offentlighetsprin- cipen behålls oförändrade och att ADB-upptagningar så långt som möjligt är jämställda med konventionella handlingar i fråga om möjligheterna till insyn från allmänheten.
Enligt min mening finns det inte skäl att göra några förändringar av TF:s grundbegrepp när det gäller konventionella handlingar. Däremot finns det anledning att undersöka om det behövs några ändringar av grundlagsbestäm- melserna i fråga om upptagningar för ADB.
Vid utformningen av bestämmelserna om offentlighetsprincipen och ADB har man valt att behålla begreppet handling som centralt begrepp även i fråga om information i ADB-register. Handlingsbegreppet har emellertid. som jag redan har nämnt. här en helt annan innebörd än när det gäller konventionella handlingar.
Allmänhetens rätt att ta del av vanliga handlingar är knuten till handlingen som fysiskt föremål. När det gäller ADB-upptagningar är handlingsbegrep- pet däremot inte knutet till något fysiskt föremål (tnagnetband. skivminne e.d.). Här är det i stället själva upptagningen i betydelsen konstellation av uppgifter som utgör handlingen.
Den närmare innebörden av begreppet upptagning. diskuterades i förar— betena till 1976 års ändringar i TF (prop. 1975/76: 160 s. 89 f). Utgångspunk- ten var att begreppet skulle avse själva informationsinnehållet och inte den fysiska databäraren. Beträffande frågan när det skulle anses föreligga en eller flera upptagningar konstaterades att ett dataregister kan innehålla en överväldigande stor mängd uppgifter och att det vore orimligt att endast tillsammans se dessa data som en upptagning. Å andra sidan ansågs det inte heller rimligt att alltid beteckna varje uppgift för sig som en upptagning. Resonemangen utmynnade i att varje konstellation av sakligt sammanhäng- ande uppgifter borde ses som en upptagning för sig.
Den innebörd som handlingsbegreppet har fått när det gäller information på ADB-medium har otvivelaktigt medfört vissa problem. Systemet har varit svårt att förstå och det har lett till problem i den praktiska tillämpningen.
Svårigheterna torde framför allt hänga samman med att ett existerande regelsystem på ett i viss mån konstlat sätt har överförts till ett område som det inte har varit avsett för. Vid tillämpningen av offentlighetsprincipen på ADB-upptagningar har man använt regler som i första hand har varit skrivna för konkreta föremål på någonting abstrakt, på informationen som sådan.
En bidragande orsak till svårigheterna är säkerligen att begreppet upptagning och därmed begreppet handling kan ha mycket varierande innebörd i olika fall. Ibland kan det beteckna ett fåtal uppgifter, i andra fall kan det omfatta en konstellation av uppgifter av stor omfattning. En och samma uppgift kan i det ena ögonblicket utgöra en del av en handling med ett visst innehåll och i nästa ögonblick ingå som en del i en handling med ett helt annat innehåll.
Kommittén bör undersöka hur tillämpningen av handlingsbegreppet har
utfallit i praktiken när det gäller ADB-information och överväga om bestämmelserna även i fortsättningen bör bygga på begreppet upptag- ning.
För att en handling skall anses som allmän och därmed i princip tillgänglig för allmänheten krävs enligt 2 kap. 3 & TF att den förvaras hos en myndighet och att den är inkommen till eller upprättad hos en myndighet.
I fråga om ADB-upptagningar gäller enligt samma paragraf att en upptagning anses förvarad hos en myndighet. om den är tillgänglig för myndigheten i sådan form att den kan läsas, avlyssnas eller uppfattas på något annat sätt. En upptagning anses som inkommen till en myndighet när den har gjorts tillgänglig för myndigheten av någon annan på det sätt som anges i nyssnämnda paragraf. Någon motsvarande specialbestämmelse om när en upptagning skall anses upprättad finns inte. Här gäller de allmänna reglerna i 2 kap. 7 & TF.
Vid tillämpningen av TF:s bestämmelser, har det förekommit olika åsikter om vad begreppet allmän handling egentligen omfattar när det gäller ADB-upptagningar. Frågan är framför allt om alla konstellationer av uppgifter som en myndighet kan göra med hjälp av tillgängliga program skall anses förvarade hos myndigheten och därmed i princip utgöra allmänna handlingar eller om endast sådana sammanställningar som myndigheten har gjort eller gör inom ramen för sin egen verksamhet skall anses förvarade hos myndigheten.
Det får numera anses fastslaget såväl genom uttalanden i förarbetena (prop. 1975/76:160$. 89 ff) som genom avgöranden i praxis (t.ex. regeringens beslut den 17 maj 1984. Ju dnr 2136—83) att varje sammanställning av uppgifter som en myndighet kan göra med hjälp av tillgängliga program är att anse som en handling som förvaras hos myndigheten. Den är därmed också en allmän handling, under förutsättning att den är att betrakta som inkommen till eller upprättad hos myndigheten.
Av förarbetena framgår att en myndighet rentav anses vara skyldig atti viss utsträckning tillhandahålla ett nytt datorprogram för att tillgodose offentlig- hetens krav, låt vara att detta endast gäller i sådana fall då ett program kan upprättas inom myndigheten genom en enkel arbetsinsats och utan nämnvärda kostnader eller andra komplikationer. dvs. inom ramen för vad man brukar kalla rutinbetonade åtgärder (prop. 1975/76:160 s. 90).
I förarbetena uttalar departementschefen vidare att det angivna synsättet får till konsekvens att en myndighet. om en enskild person själv ställer ett användbart program till förfogande. kan vara skyldig att utföra bearbetning med programmet.
För egen del anser jag att principen även i fortsättningen bör vara att allmänheten skall ha tillgång till alla sammanställningar som en myndighet själv kan göra, förutsatt att de uppfyller kriterierna för allmän handling och att uppgifterna inte är sekretessbelagda.
Däremot kan det enligt min mening ifrågasättas om en myndighet över huvud taget skall vara skyldig att i något fall tillhandahålla ett nytt datorprogram eller utföra bearbetningar med hjälp av program som ställs till förfogande av en enskild.
Kommittén bör överväga dessa frågor. De bör ses mot bakgrund av syftet med offentlighetsprincipen. Allmänheten bör så långt som möjligt ha full
insyn i myndigheternas handlingar för att utöva tillsyn och kontroll över hur myndigheterna sköter sin verksamhet. Däremot kan det ifrågasättas om allmänheten bör ha en insyn som sträcker sig längre än vad som behövs för att tillgodose syftet med offentlighetsprincipen.
Det kan därför diskuteras om det inte i vissa fall kan finnas skäl att begränsa möjligheterna att få tillgång till information från myndigheterna. Det gäller t.ex. i sådana fall då en framställning om uppgifter görs inte i kontrollsyfte utan av rent kommersiella skäl. Jag skall återkomma till den frågan i ett senare avsnitt.
En fråga som kommittén bör uppmärksamma är hur bestämmelserna om när en handling skall anses upprättad bör tillämpas på ADB-upptagningar. I fråga om ADB-register som förs fortlöpande tillämpas i princip bestämmel- sen i 2 kap. 7 & andra stycket punkt 1 TF, som innebär att ett sådant register anses upprättat när det tas i bruk. När det gäller andra ADB-upptagningar kan det emellertid ibland vara svårt att avgöra när en handling skall anses upprättad.
Kommittén bör också överväga hur bestämmelserna om när en handling skall anses expedierad bör tillämpas på ADB-upptagningar som görs tillgängliga för en annan myndighet. Att en sådan upptagning blir allmän handling hos den mottagande myndigheten när den blir tillgänglig där följer av 2 kap. 6 & TF. Däremot är det inte alltid säkert att upptagningen samtidigt blir allmän handling hos den myndighet från vilken den kommer, eftersom det inte finns någon motsvarande bestämmelse om när en upptagning skall anses expedierad.
I detta sammanhang vill jag också erinra om de problem som kan uppstå när myndigheter använder sig av s.k. elektronisk post. dvs. när meddelanden utväxlas via dataterminaler mellan olika myndigheter. Frågan är bl.a. om meddelanden som har avsänts elektroniskt men som mottagaren ännu inte har tagit del av bör vara tillgängliga för allmänheten.
Med nuvarande bestämmelser torde det inte råda något tvivel om att uppgifter som översänds på detta sätt normalt blir tillgängliga för allmänhe- ten så snart de är tillgängliga hos den mottagande myndigheten. Det finns dock vissa möjligheter att med stöd av 2 kap. 9 5 andra stycket TF behandla handlingar som sänds till en annan myndighet som icke allmänna. Förutsättningen är att informationsutbytet kan jämställas med en intern beredning (prop. 1975/76:160 s. 170).
Eftersom det kan antas att det i framtiden blir allt vanligare att information via terminal förmedlas mellan olika myndigheter eller mellan en myndighet och något enskilt organ, bl.a. som ett led i beredningen av ärenden, bör kommittén överväga om det finns behov av några specialbestämmelser för att reglera insynsmöjligheterna i de angivna fallen.
Slutligen vill jag i detta avsnitt peka på en annan bestämmelse som kan medföra vissa problem. nämligen bestämmelsen i 15 kap. 1 5 Seer att en allmän handling skall registreras utan dröjsmål när den har kommit in till eller upprättats hos en myndighet. I 13 5 har införts en särskild bestämmelse om undantag för registreringsskyldigheten ifråga om vissa ADB-upptag- ningar. Kommittén bör överväga om det kan behövas några ytterligare kompletteringar i fråga om diarieföring av ADB- upptagningar, bl.a. mot bakgrund av att i princip varje sammanställning av uppgifter på ADB-
medium som görs tillgänglig för en myndighet av någon annan blir en allmän handling.
Mot bakgrund av vad jag nu har anfört bör kommittén utreda hur bestämmelserna om ADB-upptagningar framför allt i 2 kap. TF har fungerat i praktiken, överväga behovet av ändringar och lägga fram förslag till de ändringar som kommittén anser vara befogade.
Allmänhetens rätt att ta del av allmänna handlingar med stöd av offentlighetsprincipen följer av bestämmelserna i 2 kap. TF. Dessa bestäm- melser ger i princip var och en rätt att ta del av allmänna handlingar utan kostnader och utan andra inskränkningar än sådana som följer av gällande sekretessbestämmelser.
Offentlighetsprincipen ger allmänheten rätt att ta del av en viss handling men innebär inte någon skyldighet för myndigheten att göra ett urval av uppgifter ur en handling eller att ställa samman uppgifter från olika handlingar. Den som begär att få ta del av en handling måste i princip kunna precisera vilken handling han vill ta del av och får sedan själv göra det urval av uppgifter som han önskar.
I andra författningar finns det emellertid bestämmelser som ger allmän- heten möjlighet att få upplysningar från myndigheter även i sådana fall som inte omfattas av offentlighetsprincipen. Enligt 15 kap. 45 Sekrl. skall en myndighet på begäran lämna uppgifter ur allmänna handlingar i den mån hinder inte möter på grund av någon bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Vidare föreskrivs i 25 förordningen (1980z900) om statliga myndigheters serviceskyldighet att myndigheter även därutöver i lämplig utsträckning skall lämna allmänheten upplysningar i frågor som rör deras verksamhetsområde.
Förhållandet mellan insynsrätten enligt TF och möjligheterna att få upplysningar enligt andra författningar har medfört vissa problem. I praktiken är det ibland oklart om uppgifter lämnas ut med stöd av offentlighetsprincipen eller med stöd av andra regler.
Svårigheterna blir särskilt märkbara när det är fråga om uppgifter i ADB-register. Eftersom offentlighetsprincipen i fråga om ADB-register ger allmänheten möjlighet att få ut ett urval av uppgifter eller sammanställningar av uppgifter, kan det i vissa fall vara svårt att avgöra var gränsen går mellan insynsrätt enligt TF och service enligt andra författningar. Detta är en olägenhet både från allmänhetens och myndigheternas synpunkt.
Utredningen bör analysera dessa frågor i syfte att klargöra var gränsen bör gå mellan skyldigheten att lämna ut uppgifter enligt offentlighetsprincipen och möjligheten att lämna upplysningar enligt andra författningar.
Denna gränsdragningsfråga kan vara av betydelse i ett flertal olika fall. Jag skall i det följande ta upp några områden där bl.a. denna fråga kan bli aktuell.
Som jag tidigare har nämnt ger offentlighetsprincipens tillämpning på ADB-upptagningar ökade möjligheter att få ut uppgifter från myndigheterna även när det inte är påkallat av de skäl som bär upp offentlighetsprincipen. Det kan ifrågasättas om inte möjligheterna att få information från myndigheterna sträcker sig väl långt i sådana fall då det inte föreligger något egentligt insyns- eller kontrollintresse. Man kan fråga sig om det verkligen bör vara en uppgift för myndigheterna att tillgodose önskemål om massuttag av t.ex. rent kommersiell karaktär. Massuttagen kan medföra betydande kostnader för myndigheterna och störa det vanliga arbetets gång.
Kommittén bör ta upp denna fråga och överväga om det är befogat att införa någon form av begränsningar av rätten att göra massuttag.
Vid sina överväganden bör kommittén bl.a. beakta att alltför långtgående möjligheter att få uppgifter från myndigheterna kan leda till att andra intressen blir lidande. Särskilt viktigt är att uppmärksamma integritetsaspek- terna. I dag har myndigheterna ofta tillgång till uppgifter om enskilda utan att den enskilde kan överblicka vilka uppgifter det är fråga om och hur de sprids vidare till andra myndigheter eller enskilda organ. Detta leder till att det uppstår risk för integritetskränkningar, inte minst när uppgifter i ett register är oriktiga.
Om kommittén skulle finna att det finns skäl att införa begränsningar av rätten att göra massuttag, kan olika metoder övervägas, varvid givetvis de tekniska förutsättningarna för tänkbara lösningar av skilda slag måste uppmärksammas. En utgångspunkt bör vara att möjligheterna att ta del av myndigheternas handlingar för de syften som offentlighetsprincipen skall tillgodose bör behållas ograverade.
En metod att" befria myndigheterna från skyldighet att tillgodose långtgående framställningar om massuttag är att införa en kompletterande bestämmelsei 15 kap. 4 5 Seer som innebär att en myndighet inte behöver tillgodose önskemål om omfattande uttag ur ADB-register, om det skulle hindra arbetets behöriga gång.
Ett annat alternativ är att införa begränsningar som bygger på en kategoriklyvning av massuttagen med hänsyn till informationens innehåll. Möjligheten att få ut uppgifter skulle exempelvis kunna vara olika beroende på om det var fråga om sammanställningar som användes i myndighetens egen verksamhet eller ej.
Ett tredje alternativ för att minska de olägenheter som är förenade med möjligheterna att göra massuttag ur ADB-register är att utvidga den sekretess som gäller f.n. En sådan lösning torde dock förutsätta ändringar i de grundläggande bestämmelser som enligt 2 kap. 2 & TF gäller beträffande möjligheterna att införa begränsningar av offentlighetsprincipen.
Allt fler myndigheter, framför allt sådana med forsknings- och informa- tionsuppgifter, ansluter sig mot betalning till kommersiella databaser, svenska och utländska. Ibland kan detta vara ett led i myndighetens instruktionsenliga skyldighet att inom en viss samhällssektor ge informa-
tionsservicc åt allmänheten. Anslutningen till databasen sker då med huvudsyftet att vidareförmedla information för utnyttjande utanför myndig- heten.
Men även om anslutningen till databaser sker för användning inom myndighetens egen verksamhet torde uppgifter som därigenom blir tillgäng- liga för myndigheten normalt omfattas av offentlighetsprincipen, vilket innebär att allmänheten också i det fallet får tillgång till uppgifterna.
I båda dessa fall kan offentlighetsprincipen på olika sätt medföra problem. Dels kan enskilda gynnas genom att de gratis får tillgång till uppgifter som myndigheterna inte kan erhålla annat än mot betalning. Dels kan konsek- vensen av att uppgifterna blir allmänt tillgängliga bli att databasägaren vägrar att ingå något avtal om att myndigheten skall få ansluta sig till basen.
Även när det gäller faktadatabaser som en myndighet själv har upprättat kan det i vissa fall uppkomma problem genom att omfattande informations— mängder blir tillgängliga för utomstående gratis eller mot en obetydlig avgift.
Redan i dag finns det dock vissa bestämmelser som hindrar enskilda från att få tillgång till eller använda sig av uppgifteri faktadatabaserDels finns det i 2 kap. 11 5 3 TF en bestämmelse som föreskriver att bl.a. tryckta skrifter och andra handlingar som ingår i bibliotek inte är allmänna handlingar. Dels innebär det upphovsrättsliga regelsystemet ett skydd mot att material som omfattas av upphovsrätt utnyttjas utan tillstånd av upphovsmannen.
Kommittén bör utreda om de bestämmelser som gäller f.n. ger ett tillräckligt skydd mot att uppgifter i faktadatabaser utnyttjas på ett icke önskvärt sätt. Om så inte skulle anses vara fallet, bör kommittén överväga vilka åtgärder som behöver vidtas och föreslå lämpliga lösningar. Vad som i första hand torde komma i fråga är att utvidga den s.k. biblioteksregeln i 2 kap. 11 & TF. Ett annat alternativ är att överväga olika former av avgiftssättning för utnyttjande av faktadatabaser hos myndigheter.
Problem likartade dem som gäller faktadatabaser kan i vissa fall uppkomma när det gäller datorprogram som används av myndigheter. Sådana program utgör normalt allmänna handlingar men kan ofta hållas hemliga med stöd av bestämmelserna i sekretesslagen. I vissa fall är det emellertid inte möjligt att undvika att datorprogram blir allmänt tillgängliga. vilket kan åsamka myndigheterna problem trots att datorprogram som regel åtnjuter upphovsrättsligt skydd. Kommittén bör utreda denna fråga och föreslå de åtgärder som kan behövas.
Vid sin prövning av frågor om faktadatabaser och datorprogram bör kommittén samråda med upphovsrättsutredningen (Ju 1976:02), som f.n. ser över de upphovsrättsliga bestämmelser som har intresse i ADB- samman- hang.
En ökad användning av ADB för lagring och spridning av information kan även på annat sätt förändra den praktiska innebörden av offentlighetsprin- cipen. En stor del av samhällsinformationen och den allmänna faktainfor- mationen har hittills spritts i tryckta publikationer, som framför allt via olika bibliotekssystem har blivit tillgängliga för allmänheten. En speciell roll har härvid folkbiblioteken, som av tradition har tagit på sig uppgiften att tillhandahålla tryckt material utan kostnad för den enskilde användaren. I framtiden kommer lagring och spridning av information via tryckta
publikationer att minska. Informationen blir då tillgänglig enbart genom datasökning. En sådan utveckling försvårar allmänhetens tillgång till information.
Kommittén bör pröva om den angivna utvecklingen motiverar särskilda åtgärder från statens sida för att garantera medborgarnas tillgång till information.
3.2.3. Myndigheternas försäljnings verksamhet
En fråga som har samband med dem som jag har berört i de båda närmast föregående avsnitten är frågan om myndigheternas försäljning av uppgifter till enskilda.
Det är oklart hur man från konstitutionell synpunkt skall se på myndigheternas försäljningsverksamhet. Dels är det i vissa fall tveksamt i vad mån myndigheterna har skyldighet att tillgodose önskemål från enskilda om att få ut uppgifter. Dels är det oklart i vad mån myndigheterna har rätt att bedriva försäljningsverksamhet i sådana fall då verksamheten saknar uttryckligt stöd i författning. Vidare föreligger det i många fall tveksamhet om vilken ersättning som myndigheterna har rätt att ta ut för uppgifter- na.
Frågor om förhållandet mellan offentlighetsprincipen och myndigheternas försäljningsverksamhet har nyligen behandlats i riksrevisionsverkets PM Kartläggning av ekonomiska konsekvenser för statliga myndigheter till följd av viss författningsreglering inom ADB-området. som verket har överlämnat till regeringen i september 1984.
Kommittén bör få till uppgift att utreda myndigheternas försäljningsverk- samhet såvitt angår uppgifter ur ADB- register. Kommittén bör i första hand klarlägga vad som anses gälla i dag beträffande myndigheternas rätt att sälja uppgifter, särskilt mot bakgrund av bestämmelserna om allmänhetens rätt att i princip kostnadsfritt ta del av allmänna handlingar med stöd av offentlig- hetsprincipen. Vidare bör kommittén ta ställning till vad som bör gälla i framtiden om myndigheternas rätt att sälja uppgifter av detta slag och om principerna för den ersättning som myndigheterna bör få ta ut.
Härvid bör kommittén särskilt beakta den konflikt som kan uppstå mellan kravet att skydda myndigheten mot icke- önskat utnyttjande av faktadata- baser å ena sidan och angelägenheten att tillförsäkra allmänheten i möjligaste mån fri tillgång till information å andra sidan. Även utanför tillämpningsområdet för offentlighetsprincipen kan regler för avgiftssättning av informationstjänster behöva utformas så att den enskilde medborgarens informationssökning inte försvåras jämfört med vad som gäller för resurs- starka institutioner och företag.
3.3. Dokumentation och arkivering
3.3.1. Rättelse i ADB-register m.m.
Isitt av riksdagen godkända betänkande KU 1982/83: 12 (s. 13 och 22) har konstitutionsutskottet gjort vissa uttalanden om möjligheterna att göra ändringar i myndigheternas diarier. Uttalandena gäller såväl manuella
register som ADB-register. Eftersom ett diarium blir allmän handling redan när det har färdigställts för införande av uppgifter. får en införd uppgift enligt utskottet aldrig raderas bort. Däremot är det inte något som hindrar att man ändrar en redan införd felaktig uppgift. under förutsättning att den felaktiga uppgiften fortfarande är klart avläsbar.
Med anledning av riksdagens uttalanden bör kommittén överväga vilka krav som bör ställas på dokumentation när det gäller rättelser i diarier som förs med ADB. En utgångspunkt bör härvid vara att det alltid skall vara möjligt att avläsa en uppgift som har rättats. under förutsättning att det är fråga om en saklig ändring och inte korrigering av stavfel e.d.
Detta innebär dock inte att det alltid måste vara möjligt att omedelbart avläsa en tidigare lydelse direkt på en bildskärm. Det bör vara tillräckligt att det i huvuddiariet anges att en ändring har gjorts och att det finns möjlighet att ta fram uppgift om den tidigare lydelsen. Sådana uppgifter bör kunna sparas t.ex. i en särskild fil i datorn eller fortlöpande antecknas i en särskild liggare.
Jag vill tillägga att det givetvis inte bör_krävas att man skall spara äldre versioner när ett diarium kompletteras med helt nya uppgifter. t.ex. om ytterligare inkomna handlingar. Inte heller kan det begäras att myndighe- terna i fråga om ADB-förda diarier skall föranstalta om bevis att det inte har gjorts andra ändringar än de som framgår av diariet. Något sådant krav finns det inte i fråga om manuella diarier, som ju ofta förs med lösbladssys- tem.
Kommittén bör ta upp frågan om ändringar i myndigheternas ADB- register också ur ett vidare perspektiv och överväga vad som generellt bör gälla i fråga om krav på dokumentation av rättelser i sådana register.
Härvid bör beaktas att det i fråga om personregister finns en bestämmelse i 8 & datalagen som innebär att en registrerad har rätt att kräva att en oriktig uppgift rättas eller utesluts ur registret. Ett krav på att en felaktig uppgift fortfarande skall vara avläsbar kan komma i strid med denna rättelseskyl- dighet. .
Här kan också hänvisas till vissa andra regler om rättelse och utgallring av uppgifter. Enligt 5 & förordningen (1974:648) om utgallring ur upptagning för automatisk databehandling skall myndigheterna gallra ut felaktiga uppgifter i ADB-upptagningar när uppgifterna har rättats och inte längre behövs för revision eller tillvaratagande av enskilds rätt. Enligt 19 & förvaltningslagen (19711290) kan ett beslut rättas, om det till följd av skrivfel eller liknande förbiseende innehåller uppenbar oriktighet.
I detta sammanhang vill jag också peka på de problem som kan uppstå för den enskilde när ett fel väl har insmugit sig i ett ADB-register. Genom att vissa uppgifter ibland slussas genom flera myndigheter sprider sig t.ex. felaktigheter i namn- och adressuppgifter lätt. Erfarenheten visar att det kan vara svårt att få en felaktig uppgift i ett ADB-register rättad. Kommittén bör därför också undersöka om man kan förbättra möjligheterna att vid behov få till stånd rättelser eller kompletteringar och att förebygga spridning av oriktiga uppgifter.
I detta avseende bör kommittén samråda med datainspektionen. som enligt vad som planeras kommer att få i uppdrag att utarbeta rekommenda- tioner till myndigheterna om vilka åtgärder de bör vidta när det uppstår misstanke om fel i ett ADB-register.
3.3.2. Arkiveringsfrågor
Syftet med offentlighetsprincipen förutsätter att myndigheterna bevarar handlingar i tillräcklig omfattning för att garantera allmänhetens insyn. Om myndigheterna gallrar alltför hårt bland sina handlingar. kan syftet med den fria insynen äventyras.
Frågan om myndigheternas skyldighet att bevara handlingar regleras varken i TF eller i sekretesslagen utan i författningar på lägre konstitutionell nivå. Bestämmelser om arkivering och gallring hos statliga myndigheter finns i första hand i allmänna arkivstadgan (19611590) men också i förordningen (1953z716) om utgallring av handlingar hos vissa statsmyndigheter och förordningen (1974:648) om utgallring ur upptagning för automatisk databehandling. Motsvarande bestämmelser för kommunala myndigheter finns i regler som har beslutats med stöd av 2kap. 27% kommunallagen (19771179).
I DALK:s betänkande (SOU 1980131) Offentlighetsprincipen och ADB föreslogs vissa bestämmelser om arkivering och gallring av ADB-upptag- ningar. Förslagen ledde emellertid inte till lagstiftning. närmast därför att bestämmelserna ansågs obehövliga.
För egen del vill jag understryka vikten av att arkiverings- och gallrings- föreskrifterna är utformade på ett sådant sätt att insynsmöjligheterna inte kommer i fara. Kommittén bör undersöka om de bestämmelser som gäller om arkivering och gallring av ADB-upptagningar fyller de krav som kan ställas med denna utgångspunkt. Kommittén bör dock inte göra någon detaljgranskning av bestämmelserna utan koncentrera sig på att undersöka om principerna är utformade på ett godtagbart sätt.
Vidare bör kommittén uppmärksamma om de ändringar som kommittén i övrigt kan komma att föreslå i fråga om offentlighetsprincipens tillämpning på ADB-upptagningar för med sig behov av ändringar i reglerna om arkivering och gallring. I det sammanhanget kan det också finnas skäl att överväga frågan huruvida principerna för arkivering och gallring bör ges förankring i de grundläggande bestämmelserna om allmänna handlingars offentlighet i 2 kap. TF eller i vanlig lag.
3.4. Skadeståndsfrågor
I anslutning till behandlingen av frågan om rättelse av felaktiga uppgifter bör kommittén också ta upp en fråga som inte enbart gäller myndigheternas ADB-register utan även enskilda ADB-register, nämligen frågan om utformningen av skadeståndsbestämmelsen i 23 & datalagen. Enligt den bestämmelsen skall en registeransvarig ersätta skada som tillfogas en registrerad genom att ett personregister innehåller en oriktig uppgift om honom. Skadestånd kan utgå även för ideell skada.
Bestämmelsen har kritiserats från olika utgångspunkter. Vissa kritiker har gjort gällande att möjligheten att få ersättning är otillräcklig genom att skadestånd kan utgå bara om det föreligger en oriktig uppgift men inte om en uppgift är ofullständig eller missvisande. Andra har menat att bestämmelsen är alltför vid genom att den bygger på strikt ansvar.
För min del anser jag att det är av stor vikt att de som tillfogas skada genom
innehållet i personregister har möjlighet att få fullgod ersättning för den skada som de lider. Kommittén bör överväga hur bestämmelsen bör vara utformad för att fylla detta syfte och föreslå de ändringar som kan behövas.
3.5 Kontroll och tillsyn m.m.
Peter Seipel ifrågasätter i sin rapport om inte JO bör få till särskild uppgift att vara tillsynsorgan i fråga om offentlighet och ADB.
Med anledning härav vill jag erinra om att flera myndigheter redan i dag har viktiga uppgifter av tillsyns- eller rådgivningskaraktär när det gäller offentlighetsprincipens tillämpning på ADB-upptagningar. Statskontoret skall bistå andra myndigheter med råd och upplysningar vid uppbyggnaden av ADB-system. Datainspektionen har till uppgift att vara tillstånds- och tillsynsorgan enligt datalagen, en uppgift som är av betydelse även för myndigheter som använder sig av ADB. I JO:s verksamhet ingår det redan i dag att uppmärksamma frågor om offentlighet och sekretess. JO:s ämbets- berättelse innehåller regelmässigt ett särskilt avsnitt om sekretessfrågor.
Redan i dag torde det alltså finnas relativt goda möjligheter att utöva kontroll och tillsyn över myndigheternas tillämpning av offentlighetsprinci- pen i fråga om ADB-upptagningar. Kommittén bör emellertid vara oförhindrad att behandla hithörande frågor i sitt utredningsarbete. Frågan om JO:s uppgifter på området bör dock inte tas upp av kommittén. I den delen bör kommittén — om dess arbete skulle föranleda det — samråda med 1983 års JO-utredning, som har tillkallats av riksdagen.
I detta sammanhang vill jag också ta upp en fråga som inte i första hand avser tillämpning av offentlighetsprincipen utan snarare skyddet för enskil- das integritet. Det gäller frågan om lagreglering av särskilt integritetskänsliga ADB-register, dvs. personregister som innehåller ömtåliga uppgifter om enskilda personer.
För sådana register krävs i dag normalt tillstånd av datainspektionen. Om inrättandet av ett sådant register beslutas av riksdagen eller regeringen, räcker det dock med ett yttrande av datainspektionen. I debatten har då och då rests krav på att register av detta slag borde vara lagreglerade, dvs. att det skulle krävas ett beslut av riksdagen för att en myndighet skulle få föra ett personregister som innehåller särskilt integritetskänsliga uppgifter.
Kommittén bör överväga denna fråga. Till en början bör kommittén undersöka i vad mån det förekommer att register av detta slag inom den offentliga sektorn saknar stöd i lag. Vidare bör kommittén ta ställning till om det är befogat att införa krav på lagstöd för vissa slag av register.
Om kommittén skulle anse att det bör krävas lagstöd för vissa register, bör kommittén ange på vilka områden och beträffande vilka typer av register som ett sådant krav bör gälla. Kommittén bör också överväga i vad mån kravet bör komma till uttryck i författning. Däremot bör kommittén inte lägga fram förslag till regler för vissa speciella områden eller register utan nöja sig med att ange vilka principer som enligt kommitténs mening bör gälla.
3.6. Sårbarhetsf'rågor
Under remissbehandlingen av Peter Seipels promemoria har uttalats farhågor för att möjligheterna att göra sammanställningar av uppgifter ur offentliga ADB-register kan leda till skadeverkningar, även om de enskilda uppgifterna var för sig är tämligen harmlösa. Detta skulle kunna innebära risker både för den nationella säkerheten och för svenska företags konkurrenskraft.
Kommittén bör vara oförhindrad att ta upp sårbarhetsfrågor i den mån de har anknytning till frågor som aktualiseras genom kommitténs arbete i övrigt. Kommittén bör i sådana frågor samråda med sårbarhetsberedningen (Fö 1981102, SÅRB), som bl.a. har till uppgift att utreda frågor om säkerhet och sårbarhet på dataområdet.
4 Uppläggningen av utredningsarbetet
I kommitténs ursprungliga direktiv anges att kommittén bör bedriva sitt arbete skyndsamt och att arbetet bör slutföras inom två år.
Med de ytterligare uppgifter som kommittén nu får torde det inte bli möjligt att slutföra arbetet inom den angivna tiden. Kommittén bör emellertid inrikta sig på att slutföra arbetet så snart som möjligt.
I den mån kommittén föreslår grundlagsändringar bör kommittén lägga fram förslag senast hösten 1986, så att det finns möjlighet att efter remissbehandling förelägga riksdagen ett förslag i tillräckligt god tid för att det skall kunna behandlas i anslutning till 1988 års val.
Kommittén bör vara oförhindrad att presentera sina förslag successivt genom att lägga fram delbetänkanden.
5 Hemställan
Jag hemställer att regeringen beslutar om tilläggsdirektiv till data- och offentlighetskommittén i enlighet med vad jag nu har anfört.
6 Beslut
Regeringen ansluter sig till föredragandens överväganden och bifaller hans hemställan.
(Justitiedepartementet)
.a ,— ! , _ . ap "u Militärt eg.
jip-...g,
Bilaga 3
SOCIALDEPARTEMENTET REGERINGSBESLUT 1985-04-25
Data- och offentlighets- kommittén
Överlämnande av betänkande
Journalutredningen har i sitt huvudbetänkande Patientjournalen (SOU 1984:73) i avsnitten 4. Integritet och sekretess och 10. Patientregister lämnat en utförlig redovisning av frågor som rör integritet och sekretess inom hälso- och sjukvården och bl. a. förordat en klargörande tolkning av vad begreppet självständig verksamhetsgren ilsekretesslagen (1980: 100) innebär för hälso- och sjukvården. Utredningen har uppmärksammat de särskilda integritets- och sekretessfrågor som uppkommer vid dataregis- trering av personuppgifter inom hälso- och sjukvården. Utredningen har bl. a. pekat på att den rättsliga regleringen av tillgängligheten till uppgifter i landstingens s.k. patientdatabaser är oklar och att möjligheterna för bl. a. de centrala myndigheterna att få del av uppgifter ur baserna behöver regleras.
Betänkandet har remissbehandlats. Behovet av klargöranden i frågor som rör integritet och sekretess inom hälso- och sjukvården har vitsordats av flertalet remissinstanser.
Regeringen beslutar överlämna journalutredningens huvudbetänkande Patientjournalen i de delar som anges ovan jämte remissyttrandena här- över till data- och offentlighetskommittén (Ju 1984z06) (DOK) för att övervägas i kommitténs arbete.
På regeringens vägnar G. Sigurdsen
Helena Starup
Kopia till
Ju L 6 datainspektionen socialstyrelsen Landstingsförbundet
" .te—l. 1'; ”N.”? ' 5.434"!!le .. . man? av:? här detta." tlf-3331. »: vilt-mi L.::".lz'l - , man ni e.. |!qu Tala _? :* ' 'a-
— ; .. ' as!) Manon
"jultävling r inf '. ., inte]! im
4 ., 1. "i"
'.', nu
Bilaga 4
Sammanfattning av journalutredningens betän- kande
Patienternas integritetsintressen Journalutredningen konstaterar allmänt, att olika önskemål beträffande journalanvändningen ibland kommer i konflikt med varandra. Målet om en säker vård synes t. ex. förutsätta så öppna informationskanaler som möj- ligt, vilket dock medför att patientens personliga förhållanden blir kända i en vidare krets. Medborgarna ställer krav på samhället att klarlägga och eliminera hälsorisker redan i miljön. Detta förutsätter förebyggande åtgär- der och forskning, som endast kan utföras om människorna är beredda att i någon mån göra avkall på sina krav om en absolut personlig integritet.
Kraven på förebyggande åtgärder liksom effektivitets-, säkerhets- och kontinuitetsaspekter har under de senaste årtiondena dominerat utredning- ar och beslut om inriktningen av hälso- och sjukvården, vilket till viss del kan ha skett på bekostnad av skyddet för patienternas integritet. J ournalut- redningen föreslår flera olika åtgärder i syfte att uppnå en bättre balans mellan de olika intressena, för att på så sätt slå vakt om ett fortsatt gott förtroende mellan allmänheten och hälso-och sjukvården. Dessa åtgärder kan sägas beröra tre nivåer avjournalhanteringen: den inre sekretessen på sjukvårdsenheterna, informationsutbytet mellan olika enheter och upp- giftslämnandet till de centrala registren.
Särskilt de senaste årtiondena har karaktäriserats av en snabb och expansiv utbyggnad av personal och övriga vårdresurser samtidigt som själva vården blivit mer komplicerad och specialiserad. Den moderna hälso- och sjukvården är i högsta grad också informationsintensiv. I takt med denna utveckling föreligger — enligt journalutredningens mening — klara risker för en avtrubbning av personalens respekt förjournaluppgifter- nas högst personliga karaktär.
Journalutredningen föreslår därför, att klinikcheferna (motsv.) vidtar lokala åtgärder för att motverka slentrian vid det dagligajournalutnyttjan- det. Sådana åtgärder kan t. ex. avse förvaringen av journalerna och vilka personer som behöver ha tillgång till information i olika avseenden. Utred- ningen föreslår vidare att huvudmännen stöder dessa initiativ, t. ex. genom informationsinsatser inom ramen för pågående internutbildningsaktivi- teter.
Bl.a. betoningen av principen om en helhetssyn på patientens förhållan— den har medfört ökade behov av informationsutbyte. I takt med att primär-
vården byggts ut och fått ett vidgat ansvar har den i ökad utsträckning efterfrågat kommuninnevånares vårduppgifter som finns i den slutna vår- den. Utvecklingen går här mot alltmer generella och systematiska system för informationsöverföring, antingen man utnyttjar konventionell teknik eller ADB.
Journalutredningen framhåller, att det rutinmässiga informationsutbytet i sin praktiska tillämpning strider mot grundläggande principer i sekretess- lagen. Rutinerna måste läggas om så att de innefattar ett sekretesspröv— ningsmoment. Utredningen föreslår en annan möjlighet, som bör kunna passa bättre in i det praktiska arbetet, nämligen att rutinerna grundas på patientens samtycke. Förslag ges på hur en sådan lösning i vissa situa- tioner kan utformas som en formell samarbetsöverenskommelse. Journal- utredningen anser det också nödvändigt, att begreppet ”självständig verk- samhetsgren" i sekretesslagen snarast klarläggs och för fram den egna uppfattningen att varje klinik bör ses som en självständig enhet.
Vissa grundläggande patientuppgifter används även för andra ändamål än sådana som primärt har med vården av den enskilde patienten att göra, t.ex. i samband med planeringen av vårdresurserna, utvärdering och forskning. Uppgifterna dataregistreras och själva arbetet utförs för det mesta på landstingens förvaltningar och hos de centrala myndigheterna — i första hand socialstyrelsen. Behovet av registerdata har ökat och därmed uppgiftslämnandet från den lokala nivån. Massmedia har särskilt under senare tid beskrivit den oro över en alltmer påträngande registrering, som kan finnas hos människorna.
Journalutredningen har inte kunnat påvisa något reellt underlag för denna oro när det gäller de centrala registren och bedömer därför att den beror på brister i informationen på flera håll. Utredningen föreslår att de berörda myndigheterna utarbetar ett upplysningsmaterial som riktar sig till all hälso- och sjukvårdspersonal. Når personalen själv blir bättre informe- rad kan man också ge patienterna vederhäftiga upplysningar redan i sam- band med vården.
Sedan registren inrättades har en ny sekretesslagstiftning trätt i kraft, som medför att sekretess gäller också mellan olika myndigheter. Journalut- redningen har noterat formella brister när det gäller rapporteringsskyldig- heten till de centrala registren och föreslår att statsmakterna i grunden ser över författningsstödet för dessa och myndigheternas befogenheter i sam- manhanget. Detsamma gäller systemet för information från mödrahälso- vården till barnhälsovården och senare till skolhälsovården, som utred— ningen också sakligt kritiserar.
l l
Bilaga 5
Sammanställning av remissyttranden över jour— nalutredningens betänkande (SOU 1984: 73) Pa- tientjournalen beträffande frågor om integritet och sekretess
] Remissinstanser m.m.
Överjournalutredningens betänkande (SOU 1984: 73) Patientjournalen har remissyttranden avgetts av justitiekanslern, Göta hovrätt, kammarrätten i Stockholm, datainspektionen, data- och offentlighetskommittén, försva- rets sjukvårdsstyrelse, värnpliktsverket, socialstyrelsen, hälso- och sjuk- vårdens ansvarsnämnd, riksförsäkringsverket, statistika centralbyrån, riksrevisionsverket, universitets- och högskoleämbetet — som bilagt ytt- randen av universiteten och karolinska institutet — riksarkivet — som bifogat yttranden av landsarkiven — statens livsmedelsverk, arbetar- skyddsstyrelsen, styrelsen för teknisk utveckling, utredningen om for- merna för den psykiska barn- och ungdomsvården (PBU/BUP) samt den kommunala familjerådgivningens framtida verksamhet (BPU-81), riksda- gens ombudsmän, Landstingsförbundet, samtliga sjukvårdshuvudmän, Sjukvårdens och socialvårdens planerings- och rationaliseringsinstitut (Spri), Landsorganisationen i Sverige, Tjänstemännens centralorganisa- tion, Centralorganisationen SACO/SR, Sveriges läkarförbund, SHSTF, Läkarsekreterarnas förening, Svenska läkaresällskapet, Föreningen arkiv- verksamma i landsting och kommun (FALK), Handikappförbundens cen- tralkommitté (HCK) och De handikappades riksförbund (DHR).
Svenska kommunförbundet och riksförbundet Hem och skola har beslu- tat avstå från att avge yttrande.
Skrivelser har inkommit från Sveriges psykologförbund, riksförbundet för sexuellt likaberättigande, Synskadades riksförbund och Verdandi.
2 Remissyttranden
Datajournaler och personregister [ hälso- och sjukvården
Kammarrätten i Stockholm framhåller följande: Uppgifter ur patientjourna- lerna används i stor utsträckning för annat än det omedelbara ändamålet, t.ex. för forskning, statistik samt socialstyrelsens och sjukvårdshuvud- männens planering. Det är främst denna externa användning som från integritetssynpunkt är ägnad att inge oro och mot vilken patienterna torde ha anledning att reagera. Här kommer särskilt datatekniken in i bilden genom de starkt ökade möjligheter som den ger till åtkomst och bearbet-
ning av materialet för de mest skilda syften, med eller utan sammankopp- ling med uppgifter ur andra dataregister. Allt efter som datatekniken kom- mer till mer utbredd användning för journalföringen stegras säkert trycket på att få använda uppgifter urjournalerna för olika sekundära ändamål. Ju fler önskemål i aktuellt hänseende som tillmötesgås dess större är riskerna för allvarliga integritetskränkningar. Kammarrätten instämmer därför i utredningens förslag (bet. s. 87) att statsmakterna skall i grunden se över författningsstödet på området. Arbetet bör bedrivas med den inriktning på restriktivitet som har förordats här. Med hänsyn till materians speciellt känsliga natur kan det vara lämpligt att det hos datainspektionen inrättas ett särskilt, samlat register med uppgifter på vilka externa brukare som har erhållit tillstånd att utnyttja patientjournaler, vilka uppgifter tillståndet avser, hur de skall utnyttjas och om sammankoppling medgetts med andra system.
Kammarrätten kan inte underlåta att i sammanhanget uttala sin oro över det förhållandet att ca 150000 patientjournaler om året försvinner (jfr. bet. s. 145, 190). Med hänsyn till materialets speciellt känsliga karaktär måste rutinerna utformas så att det i all möjlig mån förebyggs att journaler kommer i obehöriga händer.
Data- och offentlighetskommittén (DOK) anför följande: Uppgiftslämnan- det till myndigheter och centrala register anses behövas för tillsyn och kontroll i enskilda fall, övergripande planering, forskning m.m. Journalut- redningen har inte kunnat påvisa något missbruk eller slarv som på ett eller annat sätt varit till förfång för de registrerade och menar att den centrala registreringen i jämförelse med journal- och registerhanteringen på lokal- och regional nivå är ganska problemfri.
Det är ändå angeläget att utsätta befintliga register för kritisk prövning, undersöka i vilken utsträckning man kan avidentifiera de uppgifter som samlats in och iaktta en allmän återhållsamhet när det gäller nya uppgifts- skyldigheter. DOK kan i sitt utredningsarbete få anledning att närmare ta upp denna fråga i ett bredare samhällsperspektiv.
Tillsyn över den ökande registreringen av patienter med hjälp av ADB- teknik utövas av datainspektionen enligt datalagen (1973r289). För att bestämmelserna i sekretesslagen och tillståndsplikten enligt datalagen skall kunna iakttas är det nödvändigt att de olika ADB-registrens använd- ningsområden analyseras och bestäms innan tillstånd lämnas. Informa- tionssystem som täcker flera kliniker eller sjukvårdsinrättningar måste innefatta funktioner som gör det praktiskt möjligt att upprätthålla sekre- tesslagens krav på skadeprövning i varje enskilt fall av uppgiftslämnande om inte den enskildes samtycke finns eller uppgiftslämnandet bygger på en uppgiftsskyldighet i lag eller förordning. Frågan om rättelse av oriktiga uppgifter i dataregister torde DOK få anledning att pröva närmare under utredningsarbetet.
Datainspektionen framhåller följande: Utredningen redogör för före- komsten av centrala register hos socialstyrelsen och föreslår bland annat att statsmakterna i grunden ser över författningsstödet för de centrala registren och myndigheternas befogenheter i dessa frågor. Datainspek- tionen finner av skäl som framgår nedan att förslaget är utomordentligt förtjänstfullt och vill, med anledning av att vissa av de uppgifter som
lämnas till socialstyrelsen införs i personregister, peka på att beslut om inrättande av sådana register kan tas av regering eller riksdag efter hörande av inspektionen i enlighet med bestämmelserna i 2 a 5 första stycket datalagen.
Datainspektionen anser nämligen att beslut om inrättande av centrala, totala personregister inte bör fattas av datainspektionen eller den centrala myndigheten. Ett eventuellt inrättande av ett centralt personregister med uppgifter om hela befolkningens vårdtillfällen och sjukdomsdiagnoser och liknande känsliga uppgifter är en fråga av den digniteten att beslut om inrättande bör tas av regering eller helst riksdagen. Det bör således åligga statsmakterna att avgöra på vilket sätt och i vilken utsträckning uppgifter om enskildas sjukdomar och hälsotillstånd skall insamlas centralt och användas för annat än vårdändamål. Ett sådant beslut bör, efter hörande av datainspektionen enligt bestämmelserna i datalagen därom, meddelas i form av författning. Detta skulle medföra att frågan om avvägningen av integritetsintresset gentemot statistikbehovet blir mer allsidigt belyst. Uppgiftslämnande till centrala register bör alltså regleras som en skyldig- het i lag eller förordning. Dessutom skall det i denna framgå vilken myndig- het som är registeransvarig, för vilket ändamål registret skall föras, vilka uppgifter som skall ingå i det. varifrån och på vilket sätt de skall inhämtas samt hur länge uppgifterna skall bevaras. .
Socialstyrelsen för bl. a. personregistren cancerregistret. medicinskt fö- delseregister (inkl. missbildningsregistret), gynekologisk hälsoundersök- ning, patientstatistik över sluten somatisk vård, patientstatistik över sluten psykiatrisk vård, läkemedelsbiverkningsregistret och LSPV-vård.
Av dessa register är det endast cancerregistret och det medicinska födelseregistret som har behandlats som s.k. anmälningsärenden vid da- tainspektionen, dvs. registren har ansetts inrättade genom beslut av stats- makterna. För de övriga personregistren har tillstånd meddelats av datain- spektionen.
Datainspektionen delar helt uppfattningen att patienterna bör få ökad kännedom om de centrala registren och deras användningsområden. Detta skulle kunna bidra både till minskad s.k. dataoro, öka allmänhetens förstå- else för kunskap om behovet av medicinsk statistik och — inte minst — ge vägledning om hur långt den enskilde är beredd att sträcka sig. Utredning- ens förslag om att socialstyrelsen skall utarbeta upplysningsmaterial vill inspektionen livligt understödja. Inspektionen har för övrigt sedan länge och vid ett flertal tillfällen i samband med prövningen av skilda register pekat på just denna möjlighet att genom t.ex. informationsbroschyrer informera patienterna om centrala register. Inspektionen har naturligtvis lämnat upplysning och information i detta avseende men informationsan- slaget räcker inte för alla de register allmänheten borde informeras om. Vid något tillfälle har inspektionen i samverkan med socialstyrelsen ordnat särskild presskonferens. I vissa fall har inspektionen med stöd av datala— gen meddelat föreskrifter för socialstyrelsen att de registrerade skall infor- meras. Inspektionen hade i februari månad 1984 i ett ärende anledning uppmärksamma att den för det medicinska födelseregistret enligt datalagen föreskrivna underrättelseskyldigheten till de registrerade inte fullgjorts på ett godtagbart sätt. Vad som framkom i ärendet föranledde uppmärksam-
het i massmedia och blev sedermera föremål för en enkel fråga i riksdagen. Ärendet visar att det alltid kan finnas problem när avståndet ökar mellan den som samlar in uppgifterna och den som skall använda uppgifterna.
Utredningen har inte sett som sin uppgift att närmare utreda frågan om nödvändigheten av att föra centrala register i personidentif'lerbar form och aviserat att detta möjligen kan vara en fråga för den nyligen tillsatta personnummerutredningen, numera benämnd Data- och offentlighetskom- mittén (DOK). Datainspektionen finner ändå anledning att i detta samman- hang uttrycka sin principiella mening, nämligen den att noggranna avväg- ningar måste göras mellan behovet av personidentifierbara uppgifter i centrala register och de risker som kan uppstå från integritets- och sek- retessynpunkt. _Vid behov av registrering av personuppgifter för forsk- nings- och statistikändamål bör alltid i första hand övervägas vilka möjlig- heter som finns att inrätta register i avidentifierad form alternativt genom urval av en mindre population individer.
Socialstyrelsen har även i framtiden för avsikt att genomföra någon form av dataregistrering och sammanställning av uppgifter som inhämtas från landstingens patientdatabaser. Huruvida socialstyrelsen har för avsikt att inrätta och även fortsättningsvis fortlöpande föra ett centralt personregis- ter är obekant för datainspektionen. Det torde i varje fall stå helt klart att något entydigt författningsstöd genom beslut av statsmakterna inte förelig- ger för ett sådant register. Med hänsyn till den praxis som utbildats sedan datalagen trädde ikraft är det, av skäl som redovisats ovan, osäkert huruvi- da inspektionen skulle kunna bifalla en eventuell ansökan om tillstånd från socialstyrelsen om att få inrätta och fortlöpande föra ett sådant centralt personregister.
Riksförsäkringsverket framhåller följande: Utredningen konstaterar att det föreligger integritetsrisker ijournal- och registerhanteringen på den lokala/regionala nivån. Beträffande de stora centrala registren anser utred- ningen emellertid att den om inför den ökande dataregistreringen som uttryckts i massmedia är ogrundad och snarast beror på brister i informa- tion. Utredningen föreslår därför att socialstyrelsen fyller ut informations- behovet, t. ex. genom att utarbeta upplysningsmaterial till hälso- och sjuk- vårdspersonalen. Detta material bör inte bara beskriva den tekniska sidan, dvs. skyddsrutiner, tillträdes- och behörighetsregler m. in.. utan också populärt förklara registrens användningsområden och vilka vinster man kan uppnå med dessa. Frågan bör också lämpligen behandlas i den lokala internutbildningen. Utredningen menar att sådana informationsinsatser bör kunna leda till att patienterna redan i samband med vården kan få vederhäftiga upplysningar om dataregistreringen, vilket kan väntas undan- röja en del onödig oro.
Riksförsäkringsverket delar utredningens uppfattning att det bör vara värdefullt med bättre information på detta område. Verket är berett att utarbeta upplysningsmaterial beträffande socialförsäkringens register.
Spri anför bl. a. följande om datajournaler: Lagförslaget skall enligt utredningens uttalade syfte vara teknikoberoende. Samtidigt måste man konstatera att problemen är mycket olikartade vad gäller den traditionella pappersjournalen och den (till väsentliga delar) datorbaserade patientjour- nalen. Att införa ett system som ger olika delar av den manuella journalen
olika tillgänglighet för akutella vårdgivargrupper är praktiskt ogörligt me- dan det är fullt möjligt att realisera i en datorbaserad journal. Detta krav kan därför först realiseras på sikt när man inför ADB-baserad journalfö- ring.
Möjligheterna att förverkliga utredningens intentioner kommer sålunda till vissa delar vara beroende av tillgänglig teknik. Detta blir speciellt påtagligt då det är ett krav att utredningens förslag skall kunna genomföras inom ramen för oförändrade resurser eller finansieras genom rationalise- ringar och förändringar av den pågående verksamhet.
I frågan om ev. krav på kontrolläsning och signering av journalanteck- ning finns det enligt Spris mening anledning att i likhet med utredningen påpeka att det i dag är osäkert om i dator inläst och lagrad information kan likställas med skriftlig orginalhandling, bl. a. beroende av om en ”datasig- natur” kan göras lika säker mot förfalskning som signaturen på en pap- pershandling.
Datajournalen (i bemärkelsen på datamedia direktinläst journal) är, åt- minstone till vissa delar, sedan en tid i drift hos vissa huvudmän. Spri anser därför att frågan om vilken juridisk status som direkt på datamedia inlästa patientuppgifter har kräver ett klart ställningstagande med det snaraste. Det är i själva verket frågan om att definiera vilka krav som måste ställas på datamedia och dess hantering för att direktinläst informa- tion skall kunna likställas med skriftlig orginalhandling (urkund).
SCB anför följande: Patientjournalens innehåll och användning har radi- kalt förändrats under 1900-talet. Från att ha varit minnesanteckningar till stöd för läkare är journalen i dag dessutom en kanal för överförande av information till olika vårdgivare, underlag för forskning, statistik, försäk- ring, myndigheter och rättsväsen.
Det har varit utredningens uppgift att analysera hur dessa intressen skall kunna förenas med huvudkravet att den enskilda patienten får god och säker vård utan att integriteten träds för när.
Landstingens patientdatabaser kommer i framtiden att ha stor betydelse för forskningen och hälso- och sjukvårdsstatistiken. Det är framför allt diagnosuppgifter som hämtas ur patientjournalen och tillföres databasen. Skall patientdatabasen kunna utnyttjas för sina syften måste kraven ställas högt både på journaluppgifternas kvalitet och noggrannheten i överföring— en till patientdatabasen. De erfarenheter som redan vunnits tyder på att bearbetningen av uppgifter som gäller vårdgivare och vårdtagare är förhål- landevis problemfri. Uppgifterna om diagnoser har däremot visat sig vara bristfälliga.
Därför måste kvaliteten på framför allt diagnosuppgifterna förbättras. SCB har i sitt yttrande över HS 90 pekat på vikten av att ”ge den personal som lämnar uppgifter tillräcklig motivation för att lämna fullständiga och korrekta uppgifter. Detta kan lättare uppnås om man ger uppgiftslämnarna tillgång till den statistik som uppgifterna ger bas för så att den blir ett naturligt hälpmedel i deras egen verksamhet”.
J ournalutredningen förespråkar också återhållsamhet när det gäller an- mälningsskyldighet till myndigheter och centrala register då den samman- tagna effekten av många uppgifter blir en successiv urholkning av patien- tens integritetsskydd. Utredningen påpekar dock att missbruk eller slarv
på denna punkt inte är dokumenterat och att den centrala registreringen erfarenhetsmässigt är problemfri.
SCB delar utredningens uppfattning på båda dessa punkter. SCB anser det självklart angeläget att klara regler finns för hur uppgifterna i patient- journalen får användas.
SCB instämmer därför i utredningens slutsats att insamlandet avjournal- uppgifter för statistisk bearbetning bör regleras författningsmässigt.
SCB vill i detta sammanhang även peka på att personidentifierade upp- gifter från hälso- och sjukvårdsområdet faller under bestämmelserna i 7 kap. i sekretesslagen, vilket för känsliga uppgifter innebär ett strängt sekretesskydd. Denna sekretess gäller även vid bedömning av utlämnan- den från en myndighet till en annan. Om uppgifterna lämnas ut till SCB eller annan myndighet för statistisk bearbetning faller de där under den stränga statistiksekretessen enligt 9 kap. 4 & sekretesslagen.
STU begränsar sig i sitt yttrande till frågor av teknisk forskning- och utvecklingskaraktär och speciellt frågor med anknytning till projekt DASIS (datorstött informationssystem för sjukvården) och anför bl.a. följande:
I utredningen kommenteras DASIS-projektet utifrån den tillämpning och uppdelning i lokal och gemensam information som Stockholms län valt i sin försöksinstallation. Denna uppdelning är inte unik för DASIS-projek- tet och inte heller nödvändig i konceptet. Således utnyttjas inte denna uppdelning i de två övriga försöken.
I utredningen citeras en uppgift från Stockholms läns landsting att infor- mationshanteringen där kostar 600 milj. kronor per är (denna uppgift har ej tagits fram inom det centrala DASIS—projektets ram). Vidare hänvisas till en expertstudie som initierats av Dataeffektutredningen "ADB inom kom- mun och landsting -— effekter på sysselsättning och arbetsmiljö", (Ds A 1983: 5) där det hävdas att det är inom den vårdande verksamheten och inte inom administrationen som den största rationaliseringen kan komma att göras med hjälp av ADB-teknik. En relativt detaljerad studie av rationaliseringsmöjligheterna har gjorts inom DASIS-projektets ram och redovisas i form av en särskild effektgranskningsrapport. Under etapp 4 skall faktiska mätningar göras av olika effekter. En förklaring till den synbara motsägelsen mellan de två ovannämnda påståendena är att det i stor utsträckning är sjukvårdande personal som, utför administrativa upp- gifter, vilka kan underlättas med hjälp av ADB-teknik. Självfallet kan inte den medicinska verksamheten förväntas kunna rationaliseras med dator- stöd av det slag som här diskuteras.
Man kan däremot förutse att tillgängliga medicinska resurser bättre kan utnyttjas om man med hjälp av ADB-teknik har en bättre blick över dessa resurser och deras användning.
Sammanfattningsvis vill STU framhålla vikten av att klara riktlinjer utarbetas från ansvariga organ, vilka avspeglar en lämplig avvägning av patientens krav på integritet och sekretess i förhållande till betydelsen av korrekt och brett tillgänglig information för att kunna lämna god vård och vidta förebyggande insatser. Tekniken utvecklas snabbt. Begränsningarna torde inte komma att ligga på det tekniska planet vad gäller att tillgodose nämnda krav.
SÖ anför: Beträffande hälsojournalens utformning inom skolhälsovår- den pågår för närvarande ett utvecklingsarbete i samråd med socialstyrel- sen. Med tanke på skolhälsovårdens ojämna utformning i landet (framför allt beträffande Skolläkare) och i syfte att kunna fullgöra uppgiften att följa hälsotillståndet hos landets elever (SFS 1981: 1371) anser SÖ det även framgent nödvändigt att SÖ ges möjlighet att styra journalens utformning. SO anser det viktigt att även fortsättningsvis ett urval hälsojournaler från skolhälsovården insänds till ett centralt register i SÖ. Detta bör dock moderniseras och utvecklas i överensstämmelse med övriga centrala regis- ter. Arbete härmed pågår inom SÖ i samråd med socialstyrelsen, SCB, m.fl.
Landstingsförbundet framhåller följande: Uppgifter för övergripande planering inhämtas och sammanställs på såväl central som lokal nivå. Landstingens patientdatabaser har bl.a. utvecklats på grund av krav på omfattande uppgiftslämnande till centrala myndigheter. Förbundet biträ- der utredningens förslag om en översyn av författningsstödet för de cen- trala registren om myndigheternas befogenheter i dessa frågor.
Mellan mödrahälsovården, barnhälsovården och skolhälsovården sker i dag en informationsöverföring av journaluppgifter. Utredningen riktar kri- tik mot denna informationsöverföring från integritetssynpunkt och föreslår att informationssystemet arbetas om alternativt att den rättsliga reglering- en anpassas till sekretesslagens krav. Förbundsstyrelsen invänder inte mot utredningens förslag att se över nuvarande ordning men vill betona beho- vet av att viktiga uppgifter om barnets hälsa kan föras vidare från barnhäl- sovård till skolhälsovård.
Malmö kommun framhåller: Beträffande patientuppgifter som lämnas centralt, t.ex. för statistisk bearbetning respektive i utbyte mellan olika myndigheter, anser utredningen att något rejält underlag inte föreligger för patientens oro beträffande sin egen integritet. Sjukvårdsstyrelsen delar inte denna uppfattning. Tvärtom har Sjukvårdsstyrelsen observerat en stigande oro avseende identifierbara uppgifter som inlämnas till centrala register. Med hänsyn till patienternas integritet vore önskvärt att man i väsentligt större omfattning än f.n. planerar centrala register med hjälp av avidentifierade personliga uppgifter och givetvis med fastställda syften. De nuvarande centrala registren torde inte uppfylla dessa krav. Även vid intern databehandling inom en sjukvårdsinrättning måste väl avvägda sek- retesskoder planeras in.
Malmöhus läns landsting anser att en skärpning av sekretessreglernas tillämpning är särskilt angelägen mot bakgrunden av den ökande använd- ningen av datorer inom sjukvården. De system som finns i dag -— bortsett från rent medicin-tekniska system av laboratoriekaraktär — har huvudsak- ligen haft administrativ inriktning. Inom en snar framtid kommer allt fler journaluppgifter att behandlas i olika terminalbaserade ADB-system. Tek- niskt ökar tillgängligheten därmed på ett sätt som inte står i överensstäm- melse med sekretesslagen om man gör enheterna inom vilka uppgifter får lämnas fritt för stora. ADB-tekniken måste också utformas så att man följer tryckfrihetsförordningens och sekretesslagens huvudregel om att någon frågar efter en uppgift och en uppgiftslämnare prövar om uppgiften kan lämnas ut.
Utskottet vill därför också instämma i utredningens mening att man i framtiden bör separera ADB-system med uppgifter av administrativ bety- delse från system innehållande medicinska journaluppgifter.
Som utredningen anger bör man också se över hur uppgifter skall lämnas till centrala myndigheter för statistik och övergripande planeringsändamål.
Kristianstads läns landsting menar att ADB som hjälpmedel i dessa sammanhang kan ge många fördelar i effektivitets- och rationaliserings- sammanhang. Dock måste noga understrykas att integritets- och sekretess- frågorna i varje särskilt fall alltid får en nöjaktig lösning när denna teknik införes, så att patienternas förtroende för vården inte rubbas.
Sjävfallet får inte sekretesskraven bli så hårda att andra myndigheter får uppenbara svårigheter att få uppgifter för att fullgöra sina skyldigheter eller att informationssamlande förhindras som underlag för forskning inom medicinen. Utredningens förslag och övervägande i dessa avseenden före- faller väl underbyggda.
Kronobergs läns landsting anför: När det gäller uppgiftslämnande till myndigheter och centrala register t. ex. landstingens patientdatabaser har journalutredningen inte kunnat påvisa något reellt underlag för den oro som kommit till uttryck i massmedia. Utredningen har dock konstaterat att det finns brister i författningsstödet för utlämnandet av dessa journalupp- gifter och önskar en översyn. Landstinget instämmer i detta men önskar också att författningsstödet för landstinget självt att hämta in dessa upp- gifter ses över. Detta är speciellt angeläget med hänsyn till den utökning av innehållet i de centrala registren som föreslås i HS 90.
Örebro läns landsting anför: Vikten av att integritetsfrågorna beaktas vid uppläggning av dataregister understryks i utredningen. Utskottet vill även understryka att motiv för och syfte med insamling av registeruppgifter skall klargöras när register läggs upp. Dock vill utskottet framhålla att skyddet av patientens integritet inte får föras dithän, att forskning i data- lagrat material försvåras/omöjliggörs.
Skaraborgs läns landsting anser att att en skärpning av sekretessregler- nas tillämpning är särskilt angelägen mot bakgrund av den ökande använd- ningen av datorer inom sjukvården. De system som finns i dag — bortsett från rent medicin-tekniska system av laboratoriekaraktär — har huvudsak- ligen haft administrativ inriktning. Inom en snar framtid kommer allt fler journaluppgifter att behandlas i olika terminalbaserade ADB-system. Tek- niskt ökar tillgängligheten därmed på ett sätt som inte står i överensstäm- melse med sekretesslagen om man gör enheterna inom vilka uppgifter får lämnas fritt för stora. Som utredningen anger bör man också i detta sammanhang se över hur uppgifterna skall lämnas till centrala myndigheter för statistik och övergripande planeringsändamål.
Västmanlands läns landsting är medveten om att utbyggnaden av ADB inom hälso- och sjukvård kommer att i hög grad skärpa integritetsproble- met och möjligen även aktualisera kompletterande lagstiftning. Landsting- et delar utredningens uppfattning om vikten av att undvika en förtroende- kris mellan allmänheten och hälso- och sjukvården men finner att utred- ningen tar alltför lätt på allmänhetens oro inför de stora centrala data- registren i sitt försök att reducera frågan till ett informationsproblem (s. 14, 86).
Älvsborgs läns landsting anför följande: Den ökande användningen av datateknik för patientdokumentation är ur integritetshänseende ett särskilt problem. Det förekommer också en sammanblandning av rent medicinska respektive vårdadministrativa uppgifteri registren, varför ändamålen med de olika registren framgent måste renodlas.
Då det gäller medicinska register, bör man se restriktivt på användning- en av datateknik. Varje klinik bör ha ett administrativt ansvar för sin egen journalhantering, diagnos- och operationsregistrering etc. Dessa uppgifter får inte automatiskt vara tillgängliga, vare sig för andra kliniker och vårdin- rättningar eller centrala instanser utan uppgiftsutlämnande måste följa sedvanliga regler för sekretessprövning. Detta ställningstagande medför att endast avidentifierade patientuppgifter kan utlämnas till centrala data- baser för forskningsändamål.
I samverkan mellan primärvården och länssjukvården, är det väsentligt att patienter rutinmässigt tillfrågas huruvida journaluppgifter får översän- das till den egna vårdcentralen efter besök inom länssjukvården, vilket också JO givit uttryck för i samband med försöksverksamhet inom Kalmar läns landsting.
I en akut situation kan man för att höja patientsäkerheten ha behov av vissa s.k. kritiska data ur tidigare upprättade patientjournaler.
För att underlätta journalsökningen i dylika fall är datalagring av dessa kritiska patientuppgifter en stor hjälp, rent administrativt. Att hålla dessa uppgifter tillgängliga i en akut situation torde också. vara möjligt med nuvarande lagstiftning. Det återstår dock att lösa hur åtkomsten av patient- uppgifterna rent praktiskt skall kunna lösas, för att inte patientsekretessen skall äventyras.
Kalmar läns landsting ansluter sig vad gäller oron för dataregistren och deras användningsområden till utredningens uppfattning om bristande in- formation i dessa frågor. Det är landstingets förhoppning att informations- material från berörda myndigheter och vårdpersonalens information till patienterna — som en del av det utvidgade informationsansvaret enligt hälso- och sjukvårdslagen och tillsynslagen — skall vara till fyllest.
Svenska läkaresällskapet konstaterar att journalutredningen ägnar stort utrymme åt regler för förstörande avjournalhandling på begäran av patien- ten, vilket är en i praktisk sjukvård sällan förekommande åtgärd, men lämnar föga ledning för utvecklingen av datorbaserade journaler över huvud taget. Eftersom detta är ett område med stora möjligheter både till spridning av information och till sträng begränsning av tillgängligheten, hade det varit värdefullt med en belysning av problem och möjligheter. Det kan troligen anses rimligt och önskvärt att viss väsentlig information, exempelvis om hemofili och diabetes, efter patientens samtycke finns tillgänglig på ett mycket enkelt sätt som "viktiga medicinska data”. Övrig information torde kunna hanteras genom meddelandehantering efter god- kännande av den enhet som äger journalen. Man har också möjlighet att variera tillgängligheten av journalen inom den enskilda enheten och på så sätt förbättra den interna sekretessen.
MFR anför: I utredningens diskussion om den integritetsrisk som regis- ter inom hälso- och sjukvården kan innebära har nämnts hälsokontroller, patientadministrativa funktioner och forskning utan inbördes åtskillnad.
MFR anser att det är betydelsefullt att skilja mellan de personbaserade dataregister som upprättas för forskningsändamål och de som upprättas för att vidtaga åtgärd av hälsokontrollerande, sjukvårdande eller patientad- ministrativ art. Forskningsregistren har till skillnad från åtgärds- eller de administrativa registren så liten integritetsrisk att den kan försummas. MFR ansluter sig därför till statistikutredningens förslag (SOU 1983: 7) att forskningsregistren endast skall anmälas till Datainspektionen.
Sveriges läkarförbund anför: Såväl läkare som allmänhet oroas över datatekniken. Beträffande de centrala registren delar läkarförbundet jour- nalutredningens uppfattning att dessa register är synnerligen viktiga i många avseenden, exempelvis för sjukvårdsplanering, tidig upptäckt av samband miljö- sjukdom etc. Så vitt känt har uppgifter från dessa register ej fått spridning till obehöriga personer. Förbundet delar också utredning- ens uppfattning att försöken med datajournaler bör fortsätta, men integri- tetskraven måste vara desamma som för de traditionella pappersjourna- lerna. Detta innebär att såväl sekretesslagen som datalagen måste följas. I huvudbetänkandet föreslås att klinikcheferna (motsvarande) ser över den s.k. inre sekretessen och stramar upp gällande rutiner kring uppgiftsläm- nande och att journalerna skall förvaras så att obehöriga ej får tillgång till dem.
Läkarförbundet delar utredningens uppfattning och menar att den inre sekretessen är ett klinikchefsansvar. Sjukvårdshuvudmännen bör dock ta initiativ till lämplig information i dessa frågor så att all sjukvårdspersonal blir medveten om de mycket stränga regler som härvid gäller.
HCK anser att patientregistren fyller viktiga funktioner av varierande slag i vårt komplicerade samhälle. HCK kan därför acceptera att de måste finnas men vill understryka att man måste ta största möjliga hänsyn till människors integritet när registren upprättas. Det är också av stor vikt att allmänheten får information om hur registren fungerar och vilken uppgift de fyller. Där behövs mycket större insatser från samhällets sida.
Verdandi instämmer också i utredningens uppfattning att det är viktigt att se över hur insamling av olika uppgifter till myndigheter går till och hur olika register med uppgifter om individer samkörs. Inte minst ur integri- tetssynpunkt är detta oerhört viktiga frågor för den enskilde.
Särskild verksamhetsgren
Kammarrätten i Stockholm anför följande: Under 4 i betänkandet behand- lar utredningen ingående olika integritets- och sekretessfrågor. Härvid tas bl. a. upp spörsmålet om innebörden i sekretesslagens (1980: 100) begrepp självständig verksamhetsgren (l kap.3 & andra stycket). I betänkandet anges (bet. s. 77) att begreppet bör kunna klarläggas t.ex. genom ett auktoritativt uttalande i en proposition. Utredningen anser härvid att varje klinik bör ses som en självständig enhet. Socialstyrelsen hävdar däremot att hälso-och sjukvårdsverksamheten vid varje sjukhus, vårdcentral etc. är att anse som en självständig verksamhetsgren medan exempelvis den administrativa verksamheten vid ett sjukhus är en annan (jfr bet. s. 235 ff). Ett klarläggande är onekligen på sin plats. Oavsett vilken tolkning som är den riktiga i fråga om gällande rätt (jfr i sammanhanget även KU
%
1979/80: 37 s. 12 ff, särskilt s. 14) talar praktiska skål med styrka för att begreppet på hälso- och sjukvårdens område bör ha den innebörd som socialstyrelsen har gjort gällande. Ett uttalande av den art som utredningen föreslår måste emellertid betecknas som en form av lagförklaring, ett institut som inte är godtaget i svensk rätt. Det är därför inte bindande. Lämpligen kan problemet lösas genom ett tillägg till 1 kap. 3 % sekretessla— gen.
Kammarrätten hälsar med tillfredsställelse utredningens förslag om åt- gärder för att motverka slentrian ijournalhanteringen. På en väsentlig punkt finner domstolen dock anledning förekomma till invändning. Utred- ningen rekommenderar (bet. s. 83 f) sålunda att vid behandlingen av upp- kommande sekretessfrågor en ökad användning skall ske av samtyckes- principen, dvs. att patientens samtycke skall inhämtas i stor omfattning. Kammarrätten ställer sig skeptisk till en mera allmän användning av denna princip på just det nu aktuella området. Skall samtycke ha något värde, måste patienten få en så utförlig information att han förstår innebörden av ett medgivande. Finns det resurser till detta i ett system där läkaren inte hinner sätta signum på sinajournalanteckningar och där det godtas att fem procent av journalerna varje år försvinner? Många patienter torde inte kunna ge ett meningsfullt medgivande. Överlag gäller att patienterna i den givna situationen är i ett klart underläge, vilket ofta torde göra det frivilliga samtycket till en chimär.
I denna del kan slutligen tilläggas att det är viktigt att integritetshänsyn tas inte endast vid överföring av journaler mellan avdelningar eller vid utnyttjande av uppgifter för externt bruk utan också inom den klinik där journalen finns. Problemen på detta plan torde bäst lösas genom utbild- nings- och informationsinsatser på lokal nivå.
Data- och offentlighetskommittén (DOK) ifrågasätter socialstyrelsens uppfattning att hela hälso- och sjukvårdsverksamheten inom en myndighet är en gemensam verksamhetsgren och att t.ex. journaler utan hinder av sekretess därför fritt kan överlämnas mellan olika kliniker på ett sjukhus.
Med hänsyn till journaluppgifternas ofta känsliga karaktär är det natur- ligt att varje klinik skall betraktas som en självständig enhet. För att man skall kunna tillgodose motstridiga intressen som t.ex. främjandet av vård- kvalitet och säkerhet i vården, förebyggande av sjukdomar och yttre faktorers skadeverkningar på hälsan, krävs emellertid en lämplig avväg- ning. Även inom kliniken är det angeläget att vidta åtgärder för att motver- ka slentrian vid det dagliga journalutnyttjandet. Det är därför viktigt att klinikchefer och huvudmän tar ett betydande ansvar för att en grundläg- gande etik följs ijournalhanteringen och för personalens inställning till sitt yrke och patienterna.
Med hänsyn till journaluppgifternas känslighet är det viktigt att man behåller en sträng sekretess inom hälso- och sjukvården. Det är då rimligt att använda sig av ett system för utlämning av journaler som, så långt det är praktiskt möjligt, bygger på patienternas uttryckliga eller tysta sam- tycke och respekterar deras vilja. I sammanhanget bör man komma ihåg att berepp som t.ex. frivillighet, självbestämmande. förtroende och re- spekt för vården var av grundläggande betydelse vid utformningen av sekretessbestämmelserna på vårdområdet.
Vad gäller tolkningen av innebörden av sekretesslagens bestämmelse om sekretess mellan olika verksamhetsgrenar inom samma myndighet när de är att betrakta som självständiga i förhållande till varandra anser datain- spektionen följande.
En samlad lagreglering på vårdområdet har aviserats. Det är datainspek- tionens förhoppning att denna inte leder till ökad byråkrati. Det sätt på vilket utlämnandet av uppgifter mellan olika verksamhetsgrenar inom t.ex. landstingets verksamhet skall regleras bör i princip ytterst vara en fråga för myndigheten själv att avgöra utifrån de bedömningar som gjorts av behovet av tillgång till den kunskap om patienten som krävs för vården och bäst gagnar denna vård.
Datainspektionen finner emellertid odiskutabelt att sådana informations- system som utan egentlig prövning av behovet i det enskilda fallet regel- mässigt ger tillgång till uppgifter om sammanställningar av t.ex. tidigare vårdtillfällen och diagnoser kan ge upphov till situationer som den enskilde kan uppfatta som integritetskränkande — kränkande på det sättet att käns- liga uppgifter i onödan blir bekanta för vårdpersonalen utan att behovet därav har prövats och inte heller klart framgår för patienten.
Från de synpunkter datainspektionen har att beakta är alltså utredning- ens ståndpunkt i frågan om tolkningen av den aktuella bestämmelsen i sekretesslagen av mycket stor betydelse. Inspektionen anser att utredning- ens ståndpunkt i hög grad stärker den registrerades integritetsskydd och vill därför uttrycka sitt stöd för tolkningen. Inspektionen delar uppfattning- en att möjligheten att inhämta patientens medgivande till ett utbyte av uppgifter bör utnyttjas i högre grad än vad som är fallet. Detta synes vara ett praktiskt sett enkelt förfarande då vården av patienten oftast förutsätter personlig kontakt mellan patienten och vårdpersonal.
Såvitt datainspektionen är bekant bygger det s.k. DASIS-projektets tankegångar på sådana principer för informationstillgänglighet som innebär att vårdpersonalen ges tillgång till översikter över samlad information om patientens tidigare vårdtillfällen och diagnoser m.m. Särskilda behörig- hets- och sekretessnivåer finns inbyggda i systemet. Datainspektionen menar att en bedömning av utlämnande av uppgifter måste ske från fall till fall och att denna prövning inte går att bygga in i datasystem av detta slag trots sekretess- och behörighetsnivåer i systemet.
Datainspektionen menar därför att det med hänsyn till integritetsintres- set nu bör övervägas om inte ADB-stöd inom hälso- och sjukvård skall genomföras genom. försök med andra ADB-tekniska och principiella lös- ningar än sådana som t.ex. DASIS—projektet i detta fall ger uttryck för. Den ADB-teknik som finns att tillgå i dag är sådan att man mycket väl kan pröva andra tekniska lösningar utan att för den skull begränsa möjligheter- na till informationsutlämnande mellan vårdenheter samtidigt som kraven på en prövning av utlämnandebehovet striktare kan upprätthållas i varje enskilt fall. Datainspektionen uttrycker således sitt stöd för utredningens uttalande om att datasystem måste begränsas till den lokala enheten som svarar för uppgifterna om ”sina” patienter eller, om systemen täcker flera kliniker eller sjukvårdsinrättningar, innefatta sådana funktioner som gör det praktiskt möjligt att upprätthålla sekretesslagens krav på prövning av varje enskilt fall av uppgiftslämnande. I varje fall måste det på nytt övervä-
% l | | 1 l l l % l ! å
gas vilka uppgifter som nödvändigtvis behövs vid kontakterna över klinik- gränserna.
Datainspektionen vill särskilt understryka och uttala sitt stöd för utred- ningens uttalanden i två avseenden, nämligen vad avser dels en utökad undervisning om integritets- och sekretessfrågor till berörd vårdpersonal dels information till registrerade patienter om uppgiftslämnande till cen- trala statistikregister. Vad gäller frågan om allmänhetens kännedom om de centrala datasystemen återkommer inspektionen till denna nedan men vill ändå i detta sammanhang som sin mening uttrycka att en ökad kännedom hos allmänheten även beträffande landstingens patientregister och liknan- de personregister är eftersträvansvärd.
HSAN kan i detta sammanhang inte ta ställning för eller emot den av journalutredningen förordade tolkningen av sekretesslagens begrepp "självständig verksamhetsgren”. Med utredningens tolkning av begreppet torde det vara nödvändigt att varje klinik av sekretesskäl lägger upp en egen journal. Nämnden vill framhålla att det ur nämndens synpunkt i vissa fall är fördelaktigt att ha tillgång till en sammanhållen journal.
Ansvarsnämnden vill i detta sammanhang betona vikten av att persona- len inom hälso- och sjukvården fortlöpande informeras om sekretesslag- stiftningen och dess praktiska tillämpning, inte minst vid journalföring. Eftersom sekretesslagstiftningen är komplicerad torde det vara lämpligt att landstingen anordnar utbildning i sådana frågor med biträde av lämplig juridisk expertis.
Vad gäller informationsutbytet inom ett sjukhus eller en klinik delar ansvarsnämnden utredningens syn på att respekten för sekretessen behö- ver skärpas och biträder utredningens förslag om erforderliga åtgärder.
Socialstyrelsen anför: Bestämmelserna i sekretesslagen (1 kap. 3 &) är tillämpliga mellan olika verksamhetsgrenar inom samma myndighet, om dessa är självständiga i förhållande till varandra. Hur detta tolkas inom hälso- och sjukvården råder dock delade meningar om. Utredningen anser att varje klinik bör ses som en självständig enhet åtminstone ijournal- sekretessfrågor. Utredningen vill därmed framför allt värna om den psy- kiatriska vårdens ömtåliga uppgifter och den restriktiva praxis som utveck- lats där hävdar, att ett lokalt klinikansvar dessutom bör kunna medföra en stramare journalhantering även på de somatiska enheterna.
Socialstyrelsen hävdar däremot att hälso- och sjukvårdsverksamheten på ett sjukhus eller en vårdcentral är att anse som en självständig verksam- hetsgren, vilket innebär attjournalhandlingar som behövs för att tillförsäk- ra patienten den värd han behöver utan hinder av sekretesslagens bestäm- melser i princip får överlämnas från t. ex. en klinik till en annan på sjukhuset eller från barnhälsovården på en vårdcentral till den allmänmedi- cinska verksamheten på samma central. Styrelsen förutsätter därvid att det fria informationsutbytet av journaluppgifter skall vara begränsat till sådan personal som oundgängligen behöver uppgifterna för att patienten skall kunna få en god och säker vård.
Förr ingick klinik som ett fast begrepp i sjukvårdslagstiftningen, men numera har Sjukvårdshuvudmännen frihet att organisera värden som de med hänsyn till ändamålet finner lämpligt. Inget hindrar t. ex. att man gör ett sjukhus av lasarettkaraktär till ett verksamhetsområde. Klinikindelning
är i praktiken bara en av flera organisationsformer och det är därför inte ändamålsenligt att knyta an sekretessbestämmelserna till den. När det gäller psykiatrin finns visserligen klinikbegreppet kvar i lagen om bere- dande av sluten psykiatrisk vård i vissa fall (LSPV), men även här måste den pågående strukturella och organisatoriska utvecklingen beaktas, t. ex. sektoriseringen med ett sammanhållet ansvar för all psykiatrisk vård på länsnivå inom ett avgränsat geografiskt område. En patient i sektoriserad organisation kan befinna sig än på en sluten länssjukhusavdelning för akutvård, än på ett behandlingshem, än på ett lokalt sjukhus eller en vårdcentral. Ibland är samme läkare ansvarig i de olika vårdformerna och för framtiden siktar man mot att detta skall bli en normal företeelse. Patienten kan dessutom överföras från en allmän avdelning till en sektors- övergripande enhet och vice versa. Att då när det gäller sekretessen betrakta de olika vårdformerna och enheterna som självständiga i förhål— lande till varandra skapar en konstlad atmosfär ur terapeutisk synpunkt. Patientens tidigare sjukdomshistoria är ofta av stor vikt för bedömningen av ett aktuellt psykiatriskt tillstånd och journalen bör betraktas som ett dokument till patientens bästa med kontinuiteten i värden som främsta riktmärke. Man bör därför sträva efter att skapa en samlad journal, som följer patienten inom de olika vårdformerna inom sektorn eller till och från sektorsövergripande enheter. På de enheter inom sektorn vid vilka patien- ten erhållit vård bör då finnas en epikris, upprättad vid varje avslutat vårdtillfälle. Om däremot patienten förs till en somatisk klinik eller mot- svarande, bör psykiatern endast meddela den somatiskt ansvarige läkaren de uppgifter som oundgängligen behövs för den somatiska vården.
Inom den somatiska vården skulle utredningens tolkning i praktiken innebära att t. ex. en kirurgisk klinik inte skulle kunna utlämna en journal till anestesiologen utan sekretessbedömning, vilket enligt socialstyrelsens mening är oacceptabelt. Problemet blir särskilt aktuellt på intensivvårds- avdelning, där snabb tillgång til journaluppgifter kan bespara patienten onödiga undersökningar och rentav vara av avgörande betydelse för pati- entens liv och hälsa. Om, som utredningen anser, klinikerna i egenskap av självständiga verksamhetsgrenar är att anse som myndigheter och om en klinik säger nej till ett utlämnande till en annan klinik på sjukhuset, måste den förra kliniken ge besvärshänvisning till kammarrätten och den senare få rätt att besvära sig. Detta kan inte vara rimligt.
Socialstyrelsen vill samtidigt framhålla, att den är positiv till attöverens- kommelser om informationsutbyte träffas mellan enheter som har ett regel— bundet behov av samarbete, exempelvis primärvård — länssjukvård samt till att "samtyckesprincipen" används mer i hälso- och sjukvården.
Som framgår av det som anförts ansluter sig socialstyrelsen till den tolkning av begreppet självständig verksamhetsgren, som Viking Falk gjort i ett särskilt yttrande till betänkandet. I propositionen till sekretesslagen förutsågs att tolkningen av detta begrepp skulle komma att bereda myndig- heterna svårigheter i den praktiska tillämpningen. Detta har alltså besan- nats. Styrelsen anser därför liksom utredningen, att det är nödvärdigt med ett klarläggande av begreppet inom hälso- och sjukvården i författnings- form eller åtminstone genom ett auktoritativt uttalande i en regeringspro- position.
mmh,-mum? L.W,mmn_____'_t___._____ _ ä._.___. - _ ,. .
Utredningens tolkning av innebörden i begreppet "självständig verk- samhetsgren” i 1980 års sekretesslag är, enligt RRV:s mening, på intet sätt självklar. Basen för utredningens tolkning utgörs av en organisatorisk enhet, kliniken, som inte alltid sammanfaller med de vårdkrav som förelig- ger i den enskilda situationen. Den tolkning som görs i det särskilda yttrandet utgår på ett entydigare sätt från patientens behov i vårdsitua- tionen.
Utredningens ingående behandling av sekretess- och integritetsfrågor i vårdsituationen återspeglas inte i behandlingen av de informationskrav som ställs i samband med vårdplanering, utvärdering och forskning på lokal nivå. I princip överlämnar utredningen utformningen av praxis till denna nivå. RRV anser att dessa svåra sekretess- och integritetsbedöm- ningar borde ha diskuterats mer ingående.
Försvarets sjukvårdsstyrelse anför: Utredningen ger förslag till journallag baserad på fredsförhållanden. Dess syfte är bl.a. att stärka patientens ställning i vården. Förslag ges i sekretess- och integritetsfrågor på olika nivåer för att öka säkerheten för individen. Sekretesslagen förutsätter att varje journalutlämnande prövas noga. I utredningen diskuteras även hur informationsöverföring av generell karaktär enligt sekretesslagen kan och får ske mellan olika myndigheter. I fredstid krävs inom försvarsmakten informationsutbyte på olika nivåer för rätt placering av den värnpliktige i utbildningen. Exempelvis måste journalhandlingar över de läkarundersök- ningar som värnpliktsverket genomför, och som ligger till grund för place- ring i utbildningen, utan individuell sekretessprövning kunna översändas till resp. förband. Likaså krävs inom förbandssjukvården av samma orsak ett informationsutbyte mellan regementsläkarna (motsv.) när den värnplik- tige av olika skäl byter förband.
Dessa exempel visar på svårigheter för försvarsmakten att följa sekre- tesslagens intentioner. Försvarets sjukvårdsstyrelse föreslår därför att för- utom socialstyrelsen och skolöverstyrelsen även försvarets sjukvårdssty- relse hos regeringen kan begära att de rättsliga förutsättningarna anpassas till sekretesslagen.
Värnpliktsverket framför följande: I sekretesslagen har uppgifter inom hälso- och sjukvården försetts med synnerligen stark sekretess främst ägnad att värna om den personliga integriteten, vilket är vällovligt.
1980 års lag har dock inte undantagslöst varit av godo. Inte sällan torde osäkerhet om hur lagens bestämmelser skall tolkas och tillämpas ha föror- sakat problem inom olika verksamhetsområden. Värnpliktsverket biträder följaktligen journalutredningens förslag om ett klarläggande besked från statsmakternas sida angående vad som i sekretesslagen skall förstås med "självständiga verksamhetsgrenar”. Den verksamhet som bedrivs vid värnpliktsverket nödvändiggör, såsom tidigare har nämnts, ett regelbundet utväxlande av journalhandlingar mellan i första hand centrala läkarhand- lingsarkivet, värnpliktskontoren och förband men även med andra myndig- heter inom försvarsmakten. För utlämnande av journalhandlingar till en del av dessa myndigheter krävs vanligtvis uttryckligt samtycke av den som handlingarna rör. I vissa fall sker utlämnande med stöd i författning. I andra fall åter är den rättsliga grunden för det rutinmässigt förekommande utbytet av journalhandlingar mer oklar.
Om ett förtydligande av innebörden av bestämmelsen i 1 kap 3 & 2 st sekretesslagen skulle få till konsekvens att utväxlande av medicinska uppgifter mellan försvarets myndigheter skulle försvåras på ett orimligt sätt. efterlyses jämväl en föreskrift i lag eller förordning som möjliggör ett dylikt informationsutbyte.
I detta sammanhang bör eljest nämnas att värnpliktsverkets hantering av journalhandlingar ur sekretessynpunkt äger rum under betryggande förhål- landen. Vad slutligen gäller externa myndigheters begäran om att få ta del av journalhandlingar föregås varje utlämnande av en särskild sekretess- prövning för så vitt skyldighet att utlämna sådana handlingar inte följer av någon författningsföreskrift.
UHÄ anför: Journalutredningen har pekat på den oklarhet som råder om begreppet ”självständig verksamhet" i sekretesslagen och har uttryckt som sin uppfattning att varje klinik bör ses som en självständig enhet åtminstone ijournal- och sekretessfrågor. Problemet med den konstruk— tionen framstår klart vid tanke på att den numera vedertagna principen om en helhetssyn på patientens förhållanden medför ökat behov av informa- tionsutbyte. Universitetet i Umeå har bl. a. framhållit risken för rutinmäs- sigt tänjande av bestämmelserna och ökade svårigheter för klinisk forsk- ning med en begränsning till varje klinik. Utredningen har påpekat att det framför allt är i kontaktytorna mellan psykiatrisk vård, somatisk sjukhus- vård och primärvård som det kan förekomma informationsutbyten som patienten kan uppfatta som integritetskränkande. Universitetet i Umeå har mot den bakgrunden funnit det naturligt att föreslå att dessa tre vårdformer betraktas som självständiga enheter ur sekretessynpunkt. En strikt sekre- tessprövning skulle då göras vid informationsutbyte mellan dessa tre enhe- ter men vara fritt inom varje enhet.
Spri ansluter sig i huvudsak till utredningens tolkning av sekretesslagen. Med hänsyn till den osäkerhet som enligt Spris erfarenhet råder bland sjukvårdens anställda om tillämpningen av lagen är det angeläget att den kompletteras med praktiskt vägledande föreskrifter.
Journalutredningen framhåller, att det rutinmässiga informationsutbytet i sjukvården i sin praktiska tillämpning strider mot grundläggande prin- ciper i sekretesslagen. Rutinerna måste enligt utredningen läggas om så att de innfattar ett sekretessprövningsmoment. Utredningen föreslår dessut— om att utlämnande av journal normalt grundas på patientens samtycke. Förslag ges på hur en sådan lösning i vissa situationer kan utformas som en formell samarbetsöverenskommelse. Journalutredningen anser det också nödvändigt, att begreppet självständig verksamhetsgren i sekretesslagen snarast klarläggs och för fram den egna uppfattningen att varje klinik bör ses som en ”självständig verksamhetsgren”. Spri vill här anföra följande: Patientens informerade samtycke bör som regel kunna inhämtas naturligt integrerat i de samtal med patienten om val av vård och behandling som vårdgivaren är skyldig att genomföra enligt 3 % HSL. I den följande vården av patienten kan därefter samtycke presumeras vid utlämnande av journal- handlingar mellan aktuella vårdgivare, såvida det inte kan misstänkas att patienten skulle lida men av utlämnandet. Patienten har alltid möjlighet att ompröva sitt samtycke.
Ett särskilt problem är hur aktuell vårdgivare skall kunna få vetskap om
och smidigt inhämta adekvat information om patienten från tidigare vård- tillfällen utan att bryta mot sekretesslagen.
Utredningens förslag om samarbetsöverenskommelse med förhands- prövning bör åtminstone delvis lösa detta problem. Spri föreslår att sådana lösningar aktivt prövas.
Det föreligger uppenbara svårigheter att inom hälso- och sjukvården tolka begreppet självständig verksamhetsgren så att det överensstämmer med sekretesslagens syfte. Spri anser att detta begrepp inte en gång för alla kan definieras utan måste tolkas utifrån lokalt gällande organisations- och ansvarsstruktur (kliniknivå eller motsvarande).
Arbetarskyddsstyrelsen framhåller att företagshälsovården regleras ge- nom avtal mellan arbetsmarknadens parter och är. frånsett den kommunalt drivna, en privat medicinsk verksamhet. Ur sekretessynvinkel gäller alltså tillsynslagen.
Inom företagshälsovården arbetar man i ”team". Eftersom flera olika yrkeskategorier är representerade måste ett fritt kommunikationsutbyte få förekomma, i varje fall vad som gäller inte direkt individrelaterbara upp- gifter. Gränsen mot individrelaterbara uppgifter kan emellertid vara svår att dra särskilt på små arbetsenheter. Styrelsen hade för sin del gärna sett ett uttalande av innebörd att hela företagshälsovårdsverksamheten utgör ”en självständig verksamhetsgren". Lösningen, som antyds, nämligen att muntliga upplysningar skulle få fritt utbytas inom teamet, medan tillgången till skriftlig dokumentation begränsas teammedlemmar emellan, syns sty- relsen principiellt betänklig och vid datoranvändning praktiskt omständlig.
Landstingsförbundet framhåller följande: Inom hälso- och sjukvården råder en mycket sträng sekretess. Informationsutbytet inom den offentliga vården regleras av tryckfrihetsförordningen och sekretesslagen medan sekretessfrågorna inom privat vårdverksamhet regleras genom den s.k. tillsynslagen. Patientens integritets- och rättssäkerhetsbehov måste tryg- gas oavsett om vården sker i privat eller offentlig regi. Det principiella förbudet att inom den offentliga vården röja personliga uppgifter om pati- enter gäller såväl gentemot enskilda som mellan myndigheter är också tillämpliga på förhållandet mellan olika verksamhetsgrenar inom samma myndighet. om dessa är att betrakta som självständiga i förhållande till varandra. Som utredningen visar har det förekommit skilda uppfattningar om hur denna regel skall tolkas när den anpassas till olika situationer inom hälso- och sjukvården. Journalutredningen ser det som angeläget att nå klarhet i vad som avses med begreppet självständig verksamhetsgren. Utredaren ser för egen del kliniken (motsvarande) som självständig enhet. I ett särskilt yttrande redovisar socialstyrelsens representant sin tolkning att begreppet särskild verksamhetsgren avser hälso- och sjukvårdsverk- samheten vid ett sjukhus, vårdcentral etc.
Förbundsstyrelsen har tidigare i olika sammanhang pekat på oklarheter och brister i sekretesslagstiftningen just med avseende på hälso- och sjuk- vården. Sekretessbestämmelserna är skrivna för att passa in på hela den offentliga verksamheten. De har däremot i många fall visat sig mindre lämpade för tillämpning inom hälso-och sjukvården, vilket också vid flera tillfällen efter sekretesslagens tillkomst nödvändiggjort förtydliganden och kompletteringar. Styrelsen vill i anslutning härtill erinra om att Landstings-
förbundet i ett remissyttrande tilljustitiedepartementet över promemorian (Ds Ju 1981: 17). Sekretesskydd och informationsbehov. uttalat sig för en fristående reglering av sekretessen inom hälso- och sjukvården och social— tjänsten. Den oklarhet som framkommer när det gäller det centrala begrep- pet "självständig verksamhetsgren” visar att det alltjämt finns behov av förtydligande. Ett klarläggande av vad som i detta hänseende skall anses gälla i fråga om informationsutbytet mellan olika enheter inom hälso- och sjukvården måste självfallet ta sin utgångspunkt i behovet att skydda den enskilda patientens integritet. Samtidigt är det angeläget att slå fast att detta behov inte får övervärderas. Sjukvården måste ha möjligheter att meddela god vård i de praktiska vardagssituationerna. En smidig hantering i verksamheten förutsätter en vidare tolkning av begreppet än "klinik”.
Stockholms läns landsting anför: Enligt gällande sekretessbestämmelser råder dels sekretess mellan myndigheter och dels mellan "självständiga verksamhetsgrenar” inom en och samma myndighet. Vad gäller myndig- hetsbegreppet anser landstinget att hälso- och sjukvårdsverksamheten inom varje sjukvårdsområde ur sekretessynpunkt är att betrakta som en myndighet. När det sedan är fråga om tolkningen av begreppet särskild verksamhetsgren råder. vilket också utredningen påpekar, stor oklarhet. Utredningen har i och för sig tagit ställning i frågan när det gäller hälso- och sjukvård, men ställningstagandet har inte resulterat i någon Iagparagraf.
Enligt utredningen utgör varje klinik "den organisatoriska kärnan vid diskussioner i olika sekretessfrågor” dvs. varje klinik bör ses som en självständig verksamhetsgren. Sekretesslagens regler bör således enligt utredningen gälla inte bara vid kontakter mellan olika sjukvårdsinrättning- ar utan även mellan olika kliniker inom samma sjukvårdsinrättning.
Landstinget anser inte att de praktiska konsekvenserna av utredningens tolkning av begreppet självständig verksamhetsgren är godtagbara. Det är emellertid enligt landstingets uppfattning angeläget att vilken tolkning av begreppet självständig verksamhetsgren man bestämmer sig för beträffan- de hälso- och sjukvården det kommer till klart uttryck genom lagstiftning. Landstinget föreslår därför att det genom en särskild bestämmelse i sekre- tesslagen klarläggs vilken innebörd begreppet självständig verksamhets- gren skall ha när det gäller hälso- och sjukvård.
Östergötlands läns landsting framhåller att grundläggande för hanteran- det av alla journalhandlingar skall vara bestämmelserna om sekretess. Landstinget är tveksamt till att man inskränker sig till att ge en mera trång definition än tidigare av begreppet myndighet. I stället är det av största vikt att rutinerna för hantering av journaler stramas upp och tillämpas fullt ut. Landstinget instämmer i att man genom informations- och utbildnings- insatser måste motverka den slentrian som kan sprida sig beträffande förvaring av journaler och när det gäller vilka personer som behöver ha tillgång till information i olika avseenden. En bestämmelse av det tilltänkta slaget riskerar att påverka organisationstänkandet på ett sätt som inte utredningen kan ha avsett.
Malmö kommun anser att utredningen på ett förtjänstfullt sätt definierat och avgränsat journalbegreppet. Stort utrymme har därvid ägnats åt att analysera den konfliktsituation som kan uppkomma mellan patientens berättigade krav på en god och säker sjuk- och hälsovård resp. patientens
önskan om bibehållen sekretess/integritet. Journalutredningen har sett som en av sina viktigaste uppgifter att peka på de problem och konflikter som kan uppstå i ett så komplicerat och känsligt system somjournalhante- ringen utgör i dag. Målsättningen med journalföring och journalhantering är dock i första hand att tillförsäkra patienten en god och säker sjukvård. Detta kräver i många fall öppna informationskanaler innebärande ett fritt informationsutbyte mellan såväl enskilda kliniker som enskilda sjukvårds- enheter. Detta innebär att medicinska skäl gör det nödvändigt att kunna utväxlajournaler med hänsyn till vårdaspekten. Sjukvårdsstyrelsen anslu- ter sig således i detta hänseende till det särskilda yttrandet av Viking Falk, liksom vad avser tolkningen av begreppet självständig verksamhetsgren.
Samtidigt måste man vara observant på att den moderna hälso- och sjukvården har blivit så komplicerad, specialiserad och informationsinten- siv att klara risker föreligger för en avtrubbning av personalens respekt för journaluppgifternas personliga karaktär. En förbättring av integritetsskyd- det i detta hänseende är därför nödvändig och det torde ankomma på klinikcheferna att utfärda direktiv som tillfredsställer integritetsaspekten. I sådana direktiv skall ingå ett krav på att journalmaterial aldrig lämnas ut utan att adekvata skäl för utlämnandet föreligger. Ur patientsäkerhetens synpunkt är det viktigaste av detta skäl att patienten söker vård hos någon vårdgivare i akut eller elektivt skede. I denna situation måste ur medicinsk synpunkt informationsflödet bibehållas fritt. I andra situationer måste starka begränsningar genomföras och i flertalet av dessa torde patientens tillstånd till utlämnande komma att behövas.
Kristianstads läns landsting anför följande: Många situationer kan inträf- fa där patienten inte är i sådant skick att samtycke kan inhämtas, exempel- vis svårt sjuk, senil, medvetslös. En prövning enligt sekretesslagen kan i sådana fall bli hämmande. Vid en närmare analys av konsekvenserna av det förslag som journalutredningen framför, förefaller detta inte vara rea- listiskt och kan innebära praktiska svårigheter med risk för negativa medi- cinska konsekvenser.
Förslaget att varje sjukhus i stället skall utgöra självständig verksam-
hetsgren förefaller därför bättre och mera realistiskt. Det bör inte heller _ innebära att sekretesskraven eller patientens integritet äventyras om sam- tidigt alltid en kritisk granskning sker innan uppgifter inhämtas från andra kliniker. Det åligger läkare med medicinskt ledningsansvar att se till att personalen inte handskas slentrianmässigt medjournalerna eller innehållet i dessa. '
Södermanlands läns landsting framhåller följande: Inom utredningen har särskilt patientintegriteten tilldragit sig stort intresse. En bärande tanke i journalutredningens arbete har varit, att i högre grad än hittills tillgodose patienternas intressen i journalföringen. Detta ser utskottet som positivt. Journalutredningen konstaterar allmänt, att olika önskemål beträffande journalanvändningen ibland kommeri konflikt med varandra. Målet om en säker vård förutsätter t.ex. så öppna informationskanaler som möjligt, vilket dock medför att patientens personliga förhållanden blir kända i en vidare krets. Detta märks särskilt tydligt när utredningen tar upp sekre- tesslagens förvaltningsbegrepp om vad som skall anses som förvaltning eller enhet. I socialstyrelsen råd och anvisningar har detta tolkats som
sjukhus, vårdcentral etc. Praxis, åtminstone inom vårt landsting,'har varit och är att när det gäller journaler för den somatiska vården har t.ex. sjukhuset ansetts som en enhet. Denna tolkning anser vi som nödvändig för att tillgodose ett effektivt informationsflöde till förmån för helhetssyn och kontinuitet och någorlunda snabbhet i patienthanteringen. Detta be- döms på alla vårdnivåer som en nödvändighet i omsorgen om patienten. Utredningens förslag att i lag besluta om synnerligen snäva förvaltnings- gränser där kliniken vore enheten skulle skapa mycket stora problem i verksamheten där patientvården skulle försvåras i många situationer. Psy kiatriska journaler bör dock alltid bli föremål för särskild sekretessbe- dömning.
Ett fördröjt informationsflöde med de konsekvenser som detta förväntas medföra i patientomhändertagandet kommer också att få ekonomiska kon— sekvenser. Längre behandlingstider, ökade väntetider, ökad provtagning m.m. kan bli effekten.
När det gäller sekretessen/patientintegritet vill förvaltningsutskottet också fästa uppmärksamheten på primärvårdens samverkan med primär- kommunernas sociala sektor. Den planerade gemensamma verksamheten när det gäller t.ex. hemsjukvården och dess framtida inriktning, där två skilda förvaltningar ska samverka, borde på något sätt beaktas. Även psykiatrins omvandling mot öppnare vårdformer förutsätter ett nära sam- arbete med andra vårdgivare, framför allt socialtjänsten. En översyn där hänsyn tas till såväl patientens integritet som till att verksamheten skall fungera på ett enkelt och funktionellt sätt vore önskvärt.
Göteborgs- och Bohus läns landsting anser att informationsutbytet och samarbetet mellan kliniker inom samma institution och i framtiden med primärvården (genom tillgång av ny teknik) bör med helhetssynen på patienten och med patientens bästa som mål ske utan konstruerade spär- rar.
Sjukvårdshuvudmän planerar för/inför redan datorstöd ijournalhante- ringen. ADB-teknikens styrka ligger bl.a. i snabb och effektiv informa- tionsöverföring inom och mellan kliniker och vårdcentraler. Med konstru- erade spärrar i verksamheten upplevs införandet av ny teknik närmast som resursslöseri.
Förvaltningsutskottet anser att när information från annan klinik behövs för att nå ett gott vårdresultat ska detta vara möjligt utan byråkratiskt krångel. Det är därför utomordentligt viktigt att samtliga anställda får information och utbildning i god journaletik, så att personalens respekt för journalhandlingarnas högst personliga karaktär inte avtrubbas. Det ska klart framgå (med t.ex. behörighetskod) vilka personalgrupper som för vårdarbetet ska ha tillgång till journalinformation. Journalhandlingar ska inte flyta omkring utan de ska förvaras så att de ej är åtkomliga för vem som helst, t. ex. i ett låst rum på mottagningen, dit endast behörig personal har tillträde. En dylik journalförvaring underlättar dessutom avsevärt per- sonalens arbete.
Förvaltningsutskottet anser liksom journalutredningen det värdefullt med ett auktorativt klarläggande i exempelvis en regeringsproposition av begreppet ”självständig verksamhetsgren” i sekretesslagen. Förvaltnings- utskottet stöder därvid socialstyrelsens förslag.
Alternativt föreslår förvaltningsutskottet att Sjukvårdshuvudmännen för sig får delegation att inom givna ramar fastställa vad begreppet ”självstän- dig verksamhetsgren" ska omfatta.
Örebro läns landsting framhåller följande: Avgörande för inställningen i frågor rörande sekretess och integritet är innebörden av det omdiskuterade begreppet "självständig verksamhetsgren". Ett definitivt klargörande av om ”självständig verksamhetsgren" i enlighet med betänkandet innebär den enskilda kliniken eller vårdcentralen, eller om det i likhet med social- styrelsens tolkning innebär hälso- och sjukvårdsverksamheten vid varje sjukhus är nödvändigt.
Inom Örebro läns landsting är frågan av speciell betydelse, eftersom så kallad enhetsjournal förs inom en del av landstingsområdet vid Karlskoga lasarett.
Inom Örebro läns landsting har olika synsätt framkommit vad avser begreppet ”självständig verksamhetsgren”. Stöd för den av socialstyrel- sen genom särskilt yttrande av Viking Falk företrädda linjen dominerar, varvid utskottet kan konstatera att även detta förslag innebär hinder för utlämnande av journalhandling i oträngt mål. Från flera håll påpekas att sjukhuset, inklusive patientens primärvårdsdistrikt, bör betraktas som basenhet. Om däremot en klinik eller vårdcentral, i enlighet med utred- ningens synsätt, utgör basenhet befaras försämrad vård till följd av att viktigt informationsutbyte kan försenas och t.o.m. hindras på grund av ”byråkratiskt krångel” vid sekretessprövningen.
Kronobergs läns landsting framför följande synpunkter: Journalutred- ningen anser att begreppet självständig verksamhetsgren i sekretesslagen behöver klarläggas t. ex. genom ett auktoritativt uttalande i en regerings- proposition. Utredningens egen uppfattning är att varje klinik bör ses som en självständig enhet när det gäller utlämnande av journaler. Landstinget instämmer i att ett klarläggande behövs inte minst mot bakgrunden av datautvecklingen.
Det kommer att öka byråkratiseringen om allt skall sekretessprövas som gäller utbyte mellan klinikerna inom ett sjukhus. Dessutom kan noteras att den som har hand om journaluppgifterna alltid — om han finner det moti- verat — har möjlighet att vägra lämna ut begärda uppgifter utan föregående sekretessprövning t.ex. inom psykiatrisk vård. Om varje klinik är en självständig verksamhetsgren, hur ska en för sjukhuset gemensam akut- mottagning klassificeras i förhållande till klinikerna?
Varje vårdcentral är en självständig verksamhetsgren. Om detta råder inte delade meningar. I utredningen diskuteras dock inte hur en jourläkar- central som kan ligga antingen fristående eller ingå som en del i sjukhusets akutmottagning förhåller sig till vårdcentralerna. På denna punkt är också önskvärt med ett klarläggande, eftersom kopia på journalanteckningen skickas enligt rutin till patientens vårdcentral.
Kopparbergs läns landsting anser att utredningens uppfattning att sekre- tesslagens begrepp "självständig verksamhetsgren” skall knytas till det administrativa begreppet klinik kan diskuteras. Enjournalsekretess mellan klinikerna skulle säkert ha en del positiva sidor, bl.a. skulle känslan för sekretess klart förbättras och patientens integritetsskydd öka. Landstinget stöder utredningens uppfattning att det är nödvändigt att begreppet "själv-
ständig verksamhetsgren” i sekretesslagen snarast klarläggs.
Om utredningens uppfattning om inte sekretess skall tillämpas kommer det dock att medföra behov av omorganisering av delar av journalhante- ringen, vilket medför ökade kostnader.
Skaraborgs läns landsting anför: Vad utredningen framför angående til- lämpningen av sekretesslagen anser utskottet vara mycket väsentligt. Om sekretessen skall få någon praktisk betydelse måste en begränsning ske av den enhet inom vilken sekretessbelagda uppgifter får spridas.
Utredningens betoning av att samtycke bör inhämtas i större omfattning anser utskottet i och för sig riktig och står i överensstämmelse med den betoning man i allmänhet gjort av vikten av patientens medverkan i och samtycke till vården. Utredningens tolkning av sekretesslagen kan emel- lertid komma att missuppfattas, så att kravet är att samtycke alltid skall erfordras.
Det principiella förbudet att inom den offentliga vården röja personliga uppgifter om patienter gäller såväl gentemot enskilda som mellan myndig- heter. Bestämmelserna om sekretess mellan myndigheter är också tilläm- pliga på förhållandet mellan olika verksamhetsgrenar inom samma myndig- het, om dessa är att betrakta som självständiga i förhållande till varandra. Som utredningen visar har det förekommit skilda uppfattningar om hur denna regel skall tolkas när den anpassas till olika situationer inom hälso- och sjukvården. Journalutredningen ser det som angeläget att nå klarhet i vad som avses med begreppet självständig verksamhetsgren. Utredningen ser för egen del kliniken (motsvarande) som självständig enhet. I ett särskilt yttrande redovisar socialstyrelsens representant sin tolkning att begreppet särskild verksamhetsgren avser hälso- och sjukvårdsverksam- heten vid ett sjukhus, vårdcentral etc.
Sekretessbestämmelserna har i många fall visat sig mindre lämpade för tillämpning inom hälso- och sjukvården, vilket också vid flera tillfällen efter sekretesslagens tillkomst nödvändiggjort förtydliganden och kom- pletteringar. Den oklarhet som framkommer när det gäller det centrala begreppet ”självständig verksamhetsgren” visar att det alltjämt finns be- hov av förtydligande. Ett klarläggande av vad som i detta hänseende skall anges gälla i fråga om informationsutbytet mellan olika enheter inom hälso- och sjukvården måste självfallet ta sin utgångspunkt i behovet att skydda den enskilda patientens integritet. Samtidigt är det angeläget att slå fast att detta behov inte får övervärderas. Sjukvården måste ha möjligheter att meddela god vård i de praktiska vardagssituationerna. En smidig hantering i verksamheten förutsätter en vidare tolkning av begreppet än ”klinik”.
Vidare bör man ytterligare överväga hur sekretesslagen skall tillämpas inom primärvården. Det är inte självklart att en vårdcentral utgör den enhet inom vilken sekretessbelagda uppgifter får spridas. Mellan mödra- hälsovård, barnhälsovård och skolhälsovård sker i dag en informations- överföring av journaluppgifter. Utredningen riktar kritik mot denna infor- mationsöverföring från integritetssynpunkt. Nuvarande ordning kan behö- va ses över men det måste betonas att behovet av att viktiga uppgifter om barnets hälsa kan föras vidare från barnhälsovård till skolhälsovård.
Värmlands läns landsting anför: Landstinget ser det som nödvändigt att patientsekretessen förbättras men inte på det sätt som utredningen i första
hand förespråkar. En uppstramning av sekretessen bör i stället ske genom det åläggande som klinikcheferna (eller motsvarande) föreslås erhålla samt förbättrade rutiner m.m. vid alljournalhantering.
En utökad patientsekretess måste ske på sådant sätt att vården av patienten inte försämras jämfört med nuvarande förhållande. Värmlands läns landsting bedömer att om utredningens förslag beträffande begreppet "självständig verksamhetsgren” skall utgöras av varje klinik kommer det- ta med stor sannolikhet att medföra ökad byråkratisering, ökade kostna- der. tidsförluster och ibland risker för patienten. Landstinget avstyrker därför utredningsförslaget beträffande klinik som ”självständig verksam- hetsgren”.
Utlämnande av journaler mellan självständiga enheter bör som regel godkännas av ansvarig klinikchef. Hanteringen av känsliga uppgifter som finns i exempelvis gynekologi- och psykiatrijournaler bör, som praxis utvecklats, ske mer restriktivt. Om enjournal innehåller känsliga uppgifter bör huvudregeln vara att patientens medgivande inhämtas innan utlämnan- det av journaluppgifter äger rum.
Automatiskt översändande av kopior mellan olika enheter och vårdtyper skall över huvud taget inte förekomma dels ur sekretessynpunkt och dels ur arkiveringssynpunkt. Exempel på detta är när kopior på samtliga epikriser skickas från sluten till öppen vård.
Beträffande information på ADB kontra konventionella informations- bärare skall helt naturligt samma regler i fråga om säkerhet och sekretess gälla. Det medium som informationen bevaras på får inte vara avgörande. Det är viktigt att inte rent administrativa system förs samman och lagras med medicinsk information i minnen. Oöverkomliga brister i säkerhet och hot mot den enskilde individens integritet kan lätt bli följden. Vid uppbyg- gande av olika system måste lösningar väljas som eliminerar sådana risker. ADB måste även inom sjukvården anses som ett utomordentligt bra hjälp- medel när det används rätt.
Västmanlands läns landsting delar journalutredningens ambition att stär- ka patientens integritetsskydd och att en sekretessprövning skall ske vid utbyte av information mellan olika sjukvårdsenheter. Att som utredningen föreslår i varje utlämningssituation inhämta patientens medgivande finner däremot Landstinget ogörligt. Att patienten ger generellt medgivande, exempelvis genom en fullmakt, synes kränka 14 kap. 4 5 Seer. Svårighe- ten att inhämta svårt sjukas eller starkt åldrade patienters medgivande är också uppenbar.
Landstinget anser vidare att utredningens tolkning av 1 kap. 3 & Seer, att kliniker även inom samma vårdinstitution skall betraktas som självstän- diga enheter är alltför snäv. Det finns behov av förtydligande av begreppet "självständig verksamhetsgren” och hur det oftast nödvändiga informa- tionsutbytet mellan olika enheter inom hälso- och sjukvården — med beaktande av den enskilde patientens integritet — skall få ske. HSN är t.ex. angelägna om att de nya reglerna inte onödigtvis försvårar eller omöjliggör ett fortsatt och t.o.m. önskvärt utökat samarbete mellan slu- tenvården, primärvården, mödrahälsovården, barnhälsovården och skol- hälsovården. En smidig handläggning synes kräva en vidare/annan tolk- ning av begreppet ”klinik”. Man skulle t. ex. önskat en analys av begrep-
pet verksamhetsområde i relation till aktuell sjukdom.
HSN finner att sekretesslagen bör tillförsäkra patienten ett betryggande integritetsskydd. Den av utredningen anbefallda ordningen skulle. utan att väsentligen stärka integriteten, byråkratisera och försinka vårdarbetet. Formerna för sekretessprövning får inte omöjliggöra en lovvärd utveckling mot enhetsjournal vid institutioner där en dylik ger avgjorda rationella fördelar. När vården gagnas må läkare införa anteckningar ijournalen om tredje man.
Västernorrlands läns landsting anser i likhet med utredningen att sek- retessen inom hälso- och sjukvården måste garanteras även med nuvaran- de utveckling mot integrerande informationssystem. De olika förslag som utredningen lämnar är emellertid inte invändningsfria. När det gäller den inre sekretessen — vid en vårdcentral eller klinik — är det inte korrekt att enbart den behandlingsansvarige har anledning att använda journalen. Vid vårdcentraler har t. ex. sjuksköterskor och andra vid bl. a. telefonrådgiv- ning behov av att konsultera journalen, inte minst för att kunna fatta korrekta beslut om ev. åtgärder. Motsvarande resonemang kan även föras beträffande sluten vård där omvårdnaden ofta sker i vårdlagsform. Enligt förvaltningsutskottet torde påtalade sekretessproblem i själva verket säl- lan uppträda i den konkreta vården utan snarare under ”hanteringen" av informationen. Journalen eller delar därav förvaras ofta under iordning- ställandet på olika platser t. ex. skrivcentralen, läkarnas arbetsrum, i dennes hem osv. utan egentlig hänsyn till sekretesskraven.
Utredningens tolkning av sekretesslagen vad gäller externt informa- tionsutbyte överensstämmer heller inte med utskottets uppfattning. För- slaget att klinik likställs med självständig verksamhetsgren ger sannolikt inte den eftersträvande effekten — ett ökat sekretesskydd. De synpunkter som Viking Falk framför i sin reservation till utredningen pekar klart på vilka svårigheter som kan uppstå. Det finns all anledning att ifrågasätta resultatet av det föreslagna förfarandet eftersom patienten förutsätts sam- tycka till utnyttjandet av en journal vars innehåll han inte känner. Förvalt- ningsutskottets förslag är att sjukhuset i dess helhet får utgöra en ”själv- ständig verksamhetsgren”.
Sammanfattningsvis anser förvaltningsutskottet att utredningens förslag i syfte att förbättra sekretessen är lovvärda men att de borde kompletteras med synpunkter på bl. a. hanteringen av journaler. Vidare bör tolkningen av ”självständig verksamhetsgren" inte vara snävt begränsad till klinik utan i stället avse sjukhuset i dess helhet.
Norrbottens läns landsting kan inte utan vidare ställa sig bakom utred- ningens tolkning.
Utifrån denna tolkning rekommenderar utredningen att rutiner för utby- te av information om enskilda patienter mellan kliniker (motsvarande) — även inom ett sjukhus — skall baseras på patientens uttryckliga samtycke. Detta skall inhämtas genom en muntlig förfrågan under vårdtillfället. Om en sådan åtgärd i praktiken skall fungera som ett reellt integritetsskydd krävs enligt hälso- och sjukvårdens mening att patienten har full kännedom om vilka uppgifter som finns samlade ijournalhandlingarna. till vem infor- mationen lämnas och om han/hon eller närstående i så fall ”lider men" av att informationen lämnas ut. I praktiken måste patienten ofta sakna möjlig-
heter att göra en så heltäckande bedömning, varför rekommendationens djupare innebörd lätt kan bli ett slag i luften.
Den av utredningen rekommenderade tolkningen av begreppet ”själv— ständig verksamhetsgren" kan således få praktiska konsekvenser vad gäl- ler sjukvårdens informationsrutiner. Den är heller inte invändningsfri ef— tersom alternativa tolkningar av sekretesslagen i detta avseende är möj- liga. Hälso- och sjukvårdsnämnden delar därför utredningens åsikt om nödvändigheten av att denna tolkningsfråga snarast klarläggs.
Kalmar läns landsting anför följande: På senare år har utvecklingen av hälso- och sjukvården fått en ändrad inriktning genom bl.a. utbyggnaden av primärvården och den öppna psykiatriska vården. Detta innebär flera sjukvårdsenheter och därmed risker för att journaluppgifter slentrianmäs- sigt kan få en onödigt stor spridning. Landstinget delar journalutredning- ens uppfattning att varje klinik och vårdcentral är att betrakta som en självständig verksamhetsgren och därmed en myndighet i sekretesslagens mening.
När fråga är om utlämnande av journal ellerjournaluppgift som informa- tion skall i princip patientens samtycke alltid inhämtas eller en särskild sekretessprövning göras. Ett lokalt klinikansvar för en kliniks egnajourna- ler — som utredningen föreslår — skulle också leda till en stramarejournal- hantering över lag.
Landstinget anser det följaktligen viktigt att patienternas integritetsin- tressen så långt möjligt garanteras. Patienternas tilltro till vården och dess personal kommer då också att öka. Detta är viktigt inte minst i en tid då utvecklingen går mot mer generella och systematiska system för över- föring av information. Landstinget anser i likhet med journalutredningen att försöken med datajournaler bör fortsätta under förutsättning att integri- tets— och sekretessfrågorna får en tillfredsställande lösning.
Malmöhus läns landsting anser vad utredningen framför angående til- lämpningen av sekretesslagen vara mycket väsentligt. Om sekretessen skall få någon praktisk betydelse är det självklart att kliniken eller motsva- rande måste anses som självständig enhet i fråga om utlämnande av jour— naluppgifter. Sjukvårdsdistriktet eller hela sjukhuset med kanske 3000 — 8000 anställda kan rimligen inte utgöra sådan enhet inom vilken sekretess- belagda uppgifter får spridas.
Utredningens betoning av att samtycke bör inhämtas i större omfattning anser utskottet i och för sig riktig och står i överensstämmelse med den betoning man i allmänhet gjort av vikten av patientens medverkan i och samtycke till vården. Utredningens tolkning av sekretesslagen kan emel- lertid komma att missuppfattas, så att kravet är att samtycke alltid skall erfordras. Utredningens resonemang måste lösas mot bakgrund av övriga regler i sekretesslagen. Detta medför att utredningens tolkning kommer att medföra en skärpning av sekretessen mellan primärvård och sluten vård. vilket utskottet inte ser som ett problem.
Däremot kommer utredningens tolkning inte att medföra att ett medi- cinskt berättigat informationsöverförande mellan kliniker kommer att för- svåras eftersom detta i huvudsak sker efter sedvanlig menprövning eller med stöd av 1 kap. 5 & i sekretesslagen.
Vidare bör man överväga hur sekretesslagen skall tillämpas inom en
primärvårdsenhet. Det är inte självklart att t. ex. en hel vårdcentral utgör den enhet inom vilken sekretessbelagda uppgifter får spridas. Arbetar man i vårdlag synes det som om vårdlaget bör utgöra självständig enhet i sekretesslagens mening.
Göteborgs och Bohus läns landsting är medvetet om att utredningens synsätt kommer att medföra praktiska svårigheter i informationsutbytet mellan klinikerna. Med hänsyn till den stora vikt som utskottet fäster vid sekretessfrågorna tillstyrks journalutredningens förslag till tolkning av be- greppet "självständig verksamhetsgren”.
Förvaltningsutskottet delar journalutredningens förslag om att klinik- chefer eller liknande skall vidta åtgärder för att motverka slentrian vid det dagliga journalutnyttjandet samt att det inom ramen för huvudmannens internutbildningsaktiviteter bör genomföras informationsinsatser kring journalhanteringen.
Älvsborgs läns landsting finner det tillfredsställande att utredningen fast- ställer att det är kliniken/motsvarande som skall betraktas som ”självstän- dig verksamhetsgren" inom hälso- och sjukvården.
Från verksamhetens sida vill man i detta sammanhang också understry- ka vikten av utbildning ijournalföring och journaletik. Både under grund- utbildning i olika vårdyrken och i samband med olika interna utbildningar. bör patientintegritet och hantering av journaluppgifter behandlas.
Det förekommer i dag att journaler kopieras eller lånas ut, utan att ändamålet härmed anges i rekvisitionen. Skulle det föreskrivas, att vid rekvisitionen måste anges anledningen till journallån, kan det upplevas som byråkratiskt, men rutinen skulle onekligen höja sekretesskyddet för patientjournalen. Utredningens förslag till kontrakt för sekretessprövning mellan samverkande kliniker borde nedbringa det byråkratiska krånglet i rutinärenden.
Utredningens förslag att ijournalen notera vart journalkopia sändes är ur integritetssynpunkt väsentligt, speciellt med tanke på patientens möjlig- het att fåjournalen förstörd.
Västerbottens läns landsting ansluter sig till utredningens ståndpunkt att varje klinik, vårdcentral skall betraktas som själetändig enhet, vilket ger ett bättre integritetsskydd för patienten än om hela hälso-och sjukvårds— verksamheten vid varje sjukhus betraktas som självständig verksamhets- gren.
RFSL vill uppmärksamma den problematik som hänger samman med det som journalutredningen kallar för den inre sekretessen.
När det gäller sjukdomen AIDS har bl. a. föreslagits att de prover som tas på patienten skall märkas så att den misstänkta diagnosen framgår (exempelvis med "AIDS-risk”). Från ambulanspersonal har också fram- förts krav på att få information om patienternas sjukdom i fråga om AIDS. Ett sådant här utpekande av en viss sjukdomsdiagnos (eller oftare: miss- tanke om viss sjukdom) skapar onödiga problem för den enskilde. Sjukdo- men AIDS sprids inte via s.k. social smitta och man känner inte heller till någon sjukvårdspersonal som drabbats ”i tjänsten”. Trots detta vet vi att många inom sjukvården vägrar att befatta sig med prover eller liknande som avser en AIDS-sjuk person. Den här typen av reaktioner blir naturligt- vis vanligare om man även på provtagningsuppgifter informerar om miss-
tänkt sjukdom.
Från USA har rapporterats om en mängd olika hysteriska reaktioner i dessa sammanhang. Även om situationen inte är lika alarmerande i Sverige hyser vid dock stor oro för att de tendenser som i dag finns skall växa till samma omfattning som kan noteras i USA.
Vi hyser naturligtvis stor förståelse för att personalen önskar att kunna skydda sig mot t. ex. blodsmitta, men ett sådant skydd kan åstadkommas utan att diagnoser åtsättas prover. Socialstyrelsen har föreslagit en kombi- nation av etiketterna ”hepatit-risk" och ”blodsmitta”. Även om detta inte är helt bra (även här förekommer ju en diagnos) är denna lösning ändock att föredra.
Genomjournalutredningens tankegångar om att man ska begränsa infor- mationsöverförandet mellan olika kliniker borde man kunna komma till rätta med de problem som förbundet aktualiserat. RFSL tillstyrker alltså utredningens förslag att varje klinik skall ses som en självständig enhet i journal- och sekretessfrågor.
Svenska läkaresällskapet noterar med tillfredsställelse de förslag som innebär att patientens integritetsskydd förstärks och accepterar därför den sekretessgräns som utredningen föreslår vid klinikgräns/motsvarande. Det är särskilt väsentligt att undvika slentrianmässig informationsspridning i datoriserade system. Svenska läkaresällskapet finner det önskvärt att pati- entens tillåtelse erhålls innan journalinformation överförs mellan kliniker eller vårdcentraler. Dock får inte en utökning av patientens sekretesskydd medföra sådan ändring av rutinen attjournalhanteringen blir onödigt tung- rodd och kostbar. Klinikchef bör få möjlighet att ge direktiv anpassade efter sin kliniks verksamhet så att inte utlämnande av t.ex. remissvar, laboratorieundersökningar etc. försenas. Åtkomligheten av journalinfor- mation för forskning bör beaktas.
Det finns naturligtvis vissa situationer där samtycke ej kan krävas före utbyte av journalinformation, men där bör sekretesslagens regler om men- rekvisitet vara vägledande, t.ex. vid medvetslöshet och svår förvirring. Vid journalutlämning i dessa fall bör det enkelt kunna anges vad som är skälet till avsaknad av samtycke. Det är dock oklart hur patientens sam- tycke skall dokumenteras, men det torde räcka att vårdansvarig som begär att få ta del av annan vårdenhets journal markerar att patienten lämnat sitt samtycke.
Sällskapet tror att allmänhetens förtroende för sjukvården kan förbättras genom åtgärder enligt ovan, även om de i vissa avseenden kan upplevas som begränsningar av verksamheten. I dessa fall har de förtroendefulla relationerna större värde än snabb och total tillgänglighet av journalinfor- mation från olika delar av sjukvården.
FALK anser att utredningens tolkning av verksamhetsbegreppet säkerli- gen medför att personal inom kliniken kan känna ett större ansvar vid journalhanteringen. Av praktiska skäl synes dock utredningens definition svår att tillämpa och ett vidare verksamhetsbegrepp än klinik vore att föredra. Under alla omständigheter finner FALK att det är önskvärt att i författning definiera begreppet "självständig verksamhetsgren”.
Brister i tillämpning av sekretessen är dock inte så mycket beroende på avsaknad av en exakt definition av begreppet ”självständig verksamhets-
gren”, utan fastmer en brist på kunskap om grunderna i sekretesslagen och en slapphet i handläggningsrutinerna. Enligt FALK:s uppfattning krävs i första hand en intensifierad informations- och utbildningsverksamhet från huvudmännens sida.
Samma regler skall gälla för information på ADB och på konventionella informationsbärare. Det är viktigt, som utredningen säger, att inte rent medicinska och administrativa system förs samman. Oöverkomliga brister i säkerheten och hot mot den enskilde individens integritet kan lätt bli följden av gemensamma databaser. Vid uppbyggande av olika system måste lösningar väljas som eliminerar sådana risker.
Vid utlämnande av journaler eller delar därav till andra verksamhets— grenar inom hälso- och sjukvården eller till annan myndighet är det HCK:s uppfattning att man i första hand skall använda sig av "samtycke" (Seer 14: 14). Samtycket skall då inhämtas av den läkare som avser att begära en journal av någon annan. Detta torde vara ganska enkelt genomförbart i samband med att patienten besöker läkaren. Läkaren skall göra en nog— grann anteckning i sin journal om att samtycke har inhämtats.
I de fall man inte kan inhämta samtycke t.ex. då patienten inte är kommuniceringsbar på grund av sjukdom är det viktigt att det utarbetas rutiner för en seriös ”menprövning”. Denna bör utföras av den för vården ansvarige.
I ovanstående är underförstått att varje gren inom hälso- och sjukvården skall betraktas som en självständig verksamhetsgren vilket medför att sekretessprövning skall ske vid utlämnande av uppgifter dem emellan.
När det gäller utlämnande av uppgifter till andra myndigheter skall det. på ett mycket hårdare sätt än vad som sker i dag, prövas vilka uppgifter som skall lämnas ut. Endast sådana uppgifter som är nödvändiga för den mottagande myndigheten får lämnas ut. Vi vet att det i dag alltför ofta händer att man, troligen av tidsskäl, sänder över helajournaler i stället för att göra en sammanställning. Detta kan icke accepteras. Det gäller framför allt vid utlämnande av uppgifter till försäkringskassa, arbetsvård m.fl. där sekretessen är mycket svagare än inom hälso- och sjukvård.
Beträffande utlämnande av uppgifter till centrala register så förstår vi att detta måste förekomma med hänsyn till forskning, olika bevakningsända- mål m.m. I likhet med journalutredningen tror vi att mycket av den oro som allmänheten känner för denna registrering beror på dålig information. Det är därför mycket viktigt att rutiner för en bättre sådan information utvecklas.
Sveriges läkarförbund anför: Den 5. k. förtroendesekretessen mellan pa- tient och läkare medgav högt ställda krav på patientintegriteten. Den moderna sjukvården är dock mycket informationsaktiv och ett stort antal enskilda personer och myndigheter får på olika sätt del av journalupp- gifter. Detta kan måhända bidra till en bättre sjukvård men kan också innebära en fara för patienternas integritet.
Numera vedertagnajournalrutiner har medfört att klinikerna ofta tappat kontrollen över sina egna journaler, då de förvaras utanför kliniken i särskilda gemensamma centrala arkiv under ledning av ej klinikanknuten personal. Journalutredningens förslag att betrakta kliniken som verksam- hetsgren i sekretesshänseende bör kunna bidraga till en ökad patientinte-
gritet. Det förutsättes emellertid att den s. k. samtyckesprincipen tillämpas så att väsentligt merarbete ej uppkommer för sjukvårdspersonalen. I den mån detta likväl blir ;allet uppvägs nackdelarna av betydande fördelar som en förbättrad patientintegritet innebär. Behövliga medicinska uppgifter bör också kunna utlämnas i akuta situationer då patienten är oförmögen att ge sitt samtycke. Förbundet ansluter sig således till utredningens förslag och tror också att det är psykologiskt riktigt att markera ett ansvar för kliniken i detta avseende.
SACO/SR delar utredningens uppfattning att utvecklingen inom vården alltmer tenderar att åsidosätta de grundläggande principerna i sekretessla- gen. Organisationen välkomnar därför utredningens ambition att motverka denna utveckling. Emellertid är sekretesslagen endast tillämpbar inom den offentliga vården. Frågan om tillsynslagens allmänna regler om tystnads- plikt ger samma skydd som sekretesslagen är inte enligt vår uppfattning klarlagd. Integritetsfrågorna inom den privata vården hade därför bort penetreras närmare. '
Frågan om utlämnande av uppgifter mellan kliniker är komplicerad. Vid den medicinska bedömningen är det viktigt att ha tillräckligt underlag för bedömningen i form av uppgifter om undersökningar/behandlingar vid andra kliniker. SACO/SR finner det otympligt att vid varje utlämningstill- fälle inhämta patientens tillstånd. Trots patientens berättigade krav på integritet, kan inte sekretessen tillåtas få en sådan omfattning att vårdens kvalitet äventyras. När en patient remitteras från en klinik till en annan, kan den ansvarige vid den nya kliniken inte rimligen förvägras att ta del av tidigare dokumentation. Detta bör ske oavsett patientens godkännande.
Huvudregeln bör naturligtvis vara att patienten informeras och tillfrå- gas. Vidare bör självfallet endast absolut nödvändiga uppgifter utlämnas.
Enligt SACO/SR:s uppfattning bör således sekretess kunna brytas vid remittering av patienter. Uppgifter rörande patienter inom psykiatrisk vård bör behandlas med särskild sekretess utifrån den diskussion som utred- ningen för. Specialbestämmelser bör utformas enligt nuvarande praxis.
Sveriges psykologförbund instämmer i utredningens uppfattning att pati- enternas integritetsskydd måste förbättras. Förbundet tillstyrker således de av utredningen föreslagna åtgärderna (9 5) i syfte att motverka slentrian vid dagligt journalutnyttjande; att varje klinik bör ses som ett eget verk- samhetsområde i sekretesslagens mening (enligt förbundets mening sär- skilt viktigt inom psykiatrin); samt att ”samtyckesprincipen” i första hand skall tillämpas vid utlämnande av uppgifter mellan kliniker/sjukvårdsin- rättningar. Förbundet förutsätter att en utredning snarast tillsätts rörande konsekvenser av datorisering av journaler (jfr ex. SPRIS LUP-projekt).
Bilaga 6
DATAIN SPEKTION EN PROMEMORIA 1985-03-15 Bilaga 1
Allmänna råd för myndighet vid tillämpningen av 8 % datalagen (1973: 289)
1 Inledning
Syftet med datalagen är att hindra att inrättande och förande av personre- gister medför otillbörligt intrång i den personliga integriteten. Datalagen förutsätter att registrering av personuppgifter skall få förekomma. Lagen kräver emellertid att vissa regler iakttas. I 8 & datalagen finns bestämmel- ser om rättelse av oriktiga personuppgifter. Bakgrunden till denna regel är vetskapen om att enskilda kan åsamkas både olägenhet och skada om oriktiga uppgifter förekommer i ett personregister. Detta gäller inte minst när det uppstår fel i en myndighets register. Uppgifter i personregister är ofta underlag för en myndighets beslut. Inte sällan vidarebefordras sådana uppgifter till en eller flera andra myndigheter eller enskilda. Om den registeransvarige underlåter att rätta en oriktig personuppgift eller dröjer med att vidta de åtgärder som behövs kan det uppstå avsevärda olägen- heter inte bara för den person som den oriktiga uppgiften avser utan också för den registeransvariga myndigheten och andra som använder sig av
uppgiften. Datainspektionen har i sin PM 1983-06-09 ”ALLMÄNNA RÅD VID
TILLÄMPNINGEN AV DATALAGEN (1973: 289)" pekat på att den registeransvarige är skyldig att ha rutiner som gör det möjligt att snabbt och effektivt vidta de åtgärder som behövs för rättelser och komplettering- ar vid fel och ofullständigheter i personregister och att skadeståndsskyldig- het föreligger för den registeransvarige om oriktiga uppgifter orsakat skada för den registrerade.
Datainspektionen har särskilt i sin tillsynsverksamhet arbetat med att åstadkomma effektiva rättelserutiner anpassade för skilda personregister. Ofta har dessa insatser föranletts av klagomål från enskilda som råkat illa ut på något sätt till följd av felregistreringar. Det är vanligt att den klagande möts av invändningar från enskilda tjänstemän av följande slag: "Det är datans fel. Jag kan inte göra något."
Justitieombudsmannen har också — med utgångspunkt i sin verksamhet — uppmärksammat dessa frågor, särskilt i sin rapport ”JO om felaktiga skattekrav — synpunkter på några viktiga ADB-rutiner i skatteuppbörd och indrivningsverksamhet" (1982:S3).
Regeringen har uppmärksammat dessa viktiga frågor i tilläggsdirektiven till data- och offentlighetskommittén (Ju 1984: 06). Enligt dessa skall kom-
mittén bl.a. ”undersöka om man kan förbättra möjligheterna att få till stånd rättelser eller kompletteringar av oriktiga uppgifter i ADB-register". Regeringen har emellertid konstaterat att åtgärder för att förbättra situa- tionen bör vidtas så snart som möjligt. särskilt på myndighetssidan. Da- tainspektionen har därför ijanuari 1985 fått i uppdrag att ”utarbeta vissa rekommendationer för hur myndigheterna bör agera" i dessa situationer. Med anledning härav lämnar datainspektionen följande råd till myndig- heter som för personregister enligt datalagen. Råden riktar sig till alla registeransvariga myndigheter och rör alla personregister.
2 Undersökningsskyldigheten
Av 8 så datalagen framgår att den registeransvarige är skyldig att
— utan dröjsmål vidta skäliga åtgärder för att undersöka en personupp- gifts riktighet om det kan misstänkas att den är felaktig.
Normalt består oriktigheten i ett personregister i att personuppgift blivit felregistrerad, förvanskad vid bearbetningen eller härledd ur en oriktig anteckning hos någon uppgiftslämnare till personregistret eller att den saknas i personregistret.
Undersökningsplikten föreligger oavsett hur oriktigheten uppkommit och på vad sätt misstanken uppstått och den registeransvarige skall ome- delbart utreda förhållandet.
I de fall den registrerade själv eller annan skriftligt eller muntligt. påstått att det är fel i registret skall den som gjort påpekandet underrättas om att felanmälan mottagits, om inte ärendet kan åtgärdas omgående — eller senast inom tre dagar. Av denna underrättelse skall framgå vem som handlägger ärendet och när utredningen kan beräknas vara slutförd.
Om myndighetens utredning visar att någon oriktighet inte föreligger skall den som gjort felanmälan underrättas härom. Underrättelsen skall innehålla en beskrivning av vad som framkommit under utredningen.
3 Rättelseskyldigheten
Av 8 & datalagen framgår att den registeransvarige är skyldig att
— om skäl föreligger, rätta eller utesluta oriktiga personuppgifter. Kan det efter kontroll konstateras att en registrerad personuppgift är oriktig skall den rättas eller uteslutas.
Rättelse skall ske utan dröjsmål sedan oriktighet konstaterats och riktig uppgift inhämtats. Krävs längre tid för att rätta eller utesluta en oriktig personuppgift bör åtgärder vidtas för att hindra att den oriktiga uppgiften används eller sprids. Det kan finnas skäl för den registeransvarige att upplysa den registrerade om den tidpunkt när rättelse kommer att kunna ske i de fall detta inte sker omedelbart eller inom tre dagar.
Någon skyldighet att rätta eller utesluta oriktig personuppgift föreligger inte om uppgiften saknar betydelse från integritetsskyddssynpunkt. Detta är en undantagsregel och normalt torde ett gemensamt intresse föreligga
hos den registeransvarige och den registrerade att personuppgifter är kor- rekta. Det föreligger således sällan något behov hos den registeransvarige att göra någon bedömning av en oriktig personuppgifts betydelse från integritetssynpunkt i vart fall inte i sådana situationer där den enskilde själv begärt rättelse.
I de fall personuppgift lämnats från annan myndighet åligger det den myndighet som påbörjat utredningen om felaktigheten att utan dröjsmål begära att den uppgiftslämnande myndigheten undersöker om personupp- giften är riktig och vid behov rättar eller utesluter den. Den uppgiftsläm- nande myndigheten har i de fall uppgiften lämnats från personregister att iaktta de råd som anges i denna promemoria. Att felaktiga uppgifter över- förts från andra register fritar inte den mottagande myndigheten från ansvar enligt datalagen för felaktigheter i det egna registret.
4 Underrättelseskyldigheten
Av 8 & datalagen framgår att den registeransvarige är skyldig att
— på begäran av den registrerade underrätta den som mottagit oriktig personuppgift eller personuppgift som uteslutits, om rättelsen eller uteslut- ningen.
Har rättelse eller uteslutning av oriktig personuppgift skett skall den registeransvariga myndigheten göra en bedömning av behovet att —— oav- sett om det gjorts någon framställning härom från den registrerade eller inte — meddela rättelsen till den som tidigare erhållit den felaktiga uppgif- ten om myndigheten har notering om mottagaren.
5 Myndighetens ansvar
Det åligger den registeransvariga myndigheten att iaktta de skyldigheter som anges i datalagen.
För att fullgöra dessa skyldigheter på ett snabbt och effektivt sätt bör inom varje registeransvarig myndighet finnas någon tjänsteman med upp- gift att bevaka att felanmälningar behandlas i enlighet med de råd som lämnats under punkterna 2—4 ovan. Tjänstemännen bör fortlöpande hålla verksledningen underrättad om de problem som framkommer vid myn- dighetens tillämpning av råden.
Reglerna om rättelseskyldighet blir dock inte särskilt verkningsfulla om inte de registrerade har kännedom om vilka personregister som finns och att de har insynsrätt enligt 10 å datalagen. Registeransvariga myndigheter bör därför också på lämpligt sätt tillvarata alla möjligheter att informera om vilka personregister myndigheten har i sin verksamhet och om insyns- rätten enligt 10 & datalagen.
6 Sammanfattning
Vid varje registeransvarig myndighet bör finnas en tjänsteman med uppgift att ta emot felanmälningar. Denne skall i samråd med för verksamheten ansvariga tjänstemän inom myndigheten verka för
— att varje personregister är utformat på sådant sätt att rättelser och kompletteringar kan ske enligt bestämmelserna i datalagen,
— att den registrerade alltid underrättas om de åtgärder en anmälan om felaktighet föranlett,
— att anmälda fel alltid behandlas utan dröjsmål och att de registrerade alltid underrättas om orsaken till att en felanmälan inte kan utredas och åtgärdas inom tre arbetsdagar,
— att den registrerade får upplysning om sin rätt till skadestånd enligt 23 & datalagen eller att anmälan kan ske till justitiekanslern (JK) enligt skadeståndslagen
— att allmänheten underrättas om vilka personregister myndigheten för, — att rutinen för tillämpningen av 105 datalagen är utformad så att lagenligt begärda registerbesked expedieras utan dröjsmål och utan att orsaka myndigheten onödiga kostnader,
— att myndigheten fortlöpande fullgör sin förteckningsskyldighet enligt sekretesslagen och datalagen,
— att hålla chefen för myndigheten underrättad om de problem som framkommer vid myndighetens tillämpning av datainspektionens råd.
Här lämnade råd är med nödvändighet generella och kortfattade. För ytterligare upplysningar kan kontakt tas med datainspektionen.
Bilaga 7
Exempel på skiss till en möjlig författningsreg- lering av personregister med patientuppgifter
Förslag till
Lag om slutenvårdsregister
Inledande bestämmelser
1 5 För de ändamål som anges i denna paragraf skall med hjälp av automatisk databehandling föras ett för hela riket gemensamt slutenvårds- register.
Registret skall användas för klinisk och epidemiologisk forskning och för framställning av statistik inom hälso-och sjukvårdens område.
2 & Socialstyrelsen är registeransvarig för slutenvårdsregistret. Registret skall föras i sådan särskild verksamhet hos socialstyrelsen som avser forskning eller framställning av statistik. Bestämmelser om sekretess för sådan verksamhet finns i sekretesslagen (1980: 100).
3 & På begäran av socialstyrelsen skall myndighet inom hälso- och sjuk- vården lämna ut uppgifter till slutenvårdsregistret. Den uppgiftslämnande myndigheten skall informera den registrerade om
uppgiftslämnandet.
Slutenvårdsregistrels innehåll m. m.
4 & Slutenvårdsregistret får innehålla följande uppgifter om patienter som under ett kalenderår har skrivits ut från sluten somatisk eller psykiat- risk vård
1. inskrivningsdatum, . utskrivningsdatum, . diagnoser, . läkemedelsbiverkningar som har medfört behov av vård, yttre orsaker till skador,
6. vårdtid. Slutenvårdsregistret får också innehålla administrativa och tekniska uppgifter som behövs för registrets användning.
511-63er
5 & Slutenvårdsregistret får samköras med följande register ]. registret över totalbefolkningen, 2. registret över befolkningsförändringar. 3. dödsorsaksregistret, 4. registret över folk- och bostadsräkningen.
Ovriga hes'liimmelser
6 5 Vid förandet av slutenvårdsregistret skall särskilt iakttas att uppgif- terna i registret endast får bearbetas i enlighet med registrets ändamål.
7 5 Uppgift får bevaras personanknuten i slutenvårdsregistret under högst ett år efter det uppgiften har registrerats.
Om slutenvårdsregistret samkörs med ett annat register skall uppgif- terna i slutenvårdsregistret avidentifieras genast eller så snart det är möj- ligt efter samkörningen.
8 & Registret och till registret hörande handlingar skall hållas under sådan värd att den som är obehörig inte kan få tillgång till dem.
Denna lag träder i kraft den xxx l98x.
Kronologisk förteckning
_.
11.
13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24.
omwsmmeww
Översyn av rättegångsbalken 2. Högsta domstolen och rättsbildningen. Ju. En treårig yrkesutbildning - riktlinjer. U. En treårig yrkesutbildning — beskrivningar, förslag. U. Bostadskommitténs slutbetänkande. Sammanfattning. Bo. Bostadskommitténs slutbetänkande. Del 1. Bo. Bostadskommitténs slutbetänkande. Del 2. Bo. Militära skyddsområden. Fö. Soliditet och skälighet i försäkringsverksamheten. Fi. Ny Iönegarantilag. A. Enklare skolförfattningar. Del 1. Sammanfattning, kommit- téförslag. U. Enklare skolförfattningar. Del 2. Motiv m.m. U. Datorer, sårbarhet, säkerhet. Fö. Påföljd och brott 'l. Lagtext och sammanfattning. Ju. Påföljd och brott 2. Motiv. Ju. Påföljd och brott 3. Bilagor. Ju. Vägar till effektiv energianvändning. l. Framtid i samverkan. Del 1. C. Framtid i samverkan. Del 2. C. Aktuella socialtjänstfrågor. S. Barns behov och föräldrars rätt. S. Barns behov och föräldrars rätt. Sammanfattning. S. Riksbanken och riksgäldstullmäktige. F. Aktiers röstvärde. Ju. Integritetsskydd i informationssamhället. Ju.
Systematisk förteckning
Justitiedepartementet
Översyn av rättegångsbalken 2. Högsta domstolen och rättsbild- ningen. [1] Datorer, sårbarhet, säkerhet. [12] Påföljd och brott 1. Lagtext och sammanfattning. [13] Påfölid och brott 2. Motiv [14] Påföljd och brott 3. Bilagor [15] Aktiers röstvärde. [23]
Försvarsdepartementet Militära skyddsområden. [7]
Socialdepartementet
Allmänna socialtjänstfrågor. [15]
Barns behov och föräldrars rätt. [20] Barns behov och föräldrars rätt. Sammanfattning, [21]
Finansdepartementet Soliditet och skälighet i försäkringsverksamheten. [8] Riksbanken och riksgäldsfullmäktige. [22]
Utbildningsdepartementet
En treårig yrkesutbildning — riktlinjer. [2] En treårig yrkesutbildning — beskrivningar, förslag. [3] Enklare skolförfattningar. Del 1. Sammanfattning, kommitté— förslag. [10] Enklare skolförfattningar. Del 2. Motiv m.m. [11]
Arbetsmarknadsdepartementet Ny lönegarantilag. [9]
Bostadsdepartementet
Bostadskommitténs slutbetänkande. Sammanfattning. [4] Bostadskommitténs slutbetänkande. Del 1. [5] Bostadskommitténs slutbetänkande. Del 2. [6]
lndustridepartementet Vägar till effektiv energianvändning. [16]
Civildepartementet Framtid isamverkan. Del 1. [17] Framtid i samverkan. Del 2. [18]
; låt] N Li L. i;) tu i..
11 .
[ 1985—Ulf] 8 BTOC H I,. *
..i'iilä'. [År—”grym
j
Anm. Siffrorna inom klammer betecknar utredningens nummer i den kronologiska förteckningen.
_ _ ... ___—Am..”...uM-m.”