SOU 2006:82

Patientdatalag

Till statsrådet med ansvar för hälso- och sjukvårdsfrågor

Regeringen beslutade den 3 april 2003 att tillkalla en särskild utredare med uppdrag att utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården (dir. 2003:42). Utredaren skall enligt direktiven även överväga om särskild författningsreglering behövs för de regionala cancerregistren och för donations- och metadonregistren, samt för blodgivarregistret och vaccinationsregistret, som båda är under uppbyggnad. Om utredaren anser att en särskild författningsreglering är nödvändig, skall han utarbeta ett förslag till en sådan.

Till särskild utredare förordnades lagmannen Sigurd Heuman. Övriga medverkande i utredningens arbete anges nedan.

Utredningen antog inledningsvis namnet Kvalitetsregisterutredningen men har sedan, till följd av den slutliga utformningen av utredningens uppdrag, ändrat namnet till Patientdatautredningen (S 2003:03).

Den 23 juni 2004 beslutade regeringen om tilläggsdirektiv till utredningen (dir. 2004:95). Enligt tilläggsdirektivet skall den särskilde utredaren se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området. I uppdraget ingår att analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal. Utredaren skall också utreda frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifter i kvalitetsregister och vid behov lämna förslag till bestämmelser om detta. I utredarens uppdrag ingår också att se över frågan om Läkemedelsverket skall få föra ett register för uppföljning av läkemedels ändamålsenlighet. Utredaren skall överväga hur ett sådant register skall regleras. Utredaren har vidare fått i uppdrag att göra en generell översyn av lagen (1996:1156) om receptregister och anpassa den till övrig lagstiftning inom området. Slutligen skall utredaren

göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister, sekretesslagen (1980:100) och andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget, t.ex. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område samt lämna förslag till nödvändiga ändringar i även dessa författningar.

Den 20 december 2005 beslutade regeringen om ytterligare tilläggsdirektiv (dir. 2005:150). Enligt dessa tilläggsdirektiv skall den särskilde utredaren utarbeta förslag till författningsreglering av det nationella register för vaccinationer som i dag förs i projektform av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen. I dessa tilläggsdirektiv fastställdes även att utredningen senast den 1 oktober 2006 skall redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med anledning av dessa uppgifter. Utredningen skall redovisa resultatet av sitt arbete i övriga delar senast den 31 december 2006.

Utredningen får härmed överlämna sitt huvudbetänkande Patientdatalag (SOU 2006:82).

Till betänkandet fogas särskilda yttranden. Arbetet i utredningen fortsätter nu med återstående frågor.

Malmö i september 2006

Sigurd Heuman

/Tomas Forenius

Ingegärd Lind Anna Tansjö

Förteckning över vilka som har deltagit i denna del av utredningens arbete

(Om inte annat anges, har förordnandet gällt fr.o.m. den 12 maj 2003)

Experter

Docenten Jan Adolfsson, t.o.m. den 23 juni 2004 Professorn Anders Ekbom, fr.o.m. den 24 juni 2004 Rådmannen Ulrika Geijer, fr.o.m. den 27 mars 2006 Överläkaren Harald Heijbel, t.o.m. den 23 juni 2004 Rådmannen Lars Henriksson, t.o.m. den 26 mars 2006 Datarådet Katja Isberg Amnäs Styrelseordföranden Gösta Jedberger, fr.o.m. den 24 juni 2004 Avdelningsdirektören Pia-Maria Jonsson, t.o.m. den 31 mars 2004 Sekreteraren Gabriella Kollander Fållby, fr.o.m. den 24 juni 2004 Juristen Ulla Lönnqvist Endre Chefsjuristen Eva Nilsson, fr.o.m. den 24 juni 2004 Enhetschefen Petra Otterblad Olausson, fr.o.m. den 24 juni 2004 Professorn Elisabeth Rynning, fr.o.m. den 24 juni 2004 Biträdande landstingsdirektören Göran Stiernstedt, fr.o.m. den 27 mars 2006 Rådmannen Anna Tansjö, fr.o.m. den 1 juni 2006 Professorn Lars Wallentin

Sakkunniga

Departementssekreteraren Ulrika Axelsson Jonsson, fr.o.m. den 12 maj 2003 t.o.m. den 31 mars 2004 samt fr.o.m. den 25 maj 2005 Departementsrådet Anders Ekholm, fr.o.m. den 10 oktober 2005 Departementssekreteraren Daniel Forslund, fr.o.m. den 1 mars 2005 Rådmannen Petter Granqvist, fr.o.m. den 24 juni 2004 t.o.m. den 24 maj 2005 Rättssakkunnige Erik Hjulström, fr.o.m. den 25 maj 2005 Ämnesrådet Stefan Karlsson, t.o.m. den 30 juni 2006 Kanslirådet Eva Lenberg, fr.o.m. den 10 oktober 2005 Departementssekreteraren Anne Nilsson, fr.o.m. den 25 oktober 2004 t.o.m. den 24 maj 2005 Ämnessakkunniga Helena Rosén, fr.o.m. den 1 juli 2006

Departementssekreteraren Petra Zetterberg Ferngren, fr.o.m. den 24 juni 2004 t.o.m. den 24 oktober 2004 Chefsjuristen Sören Öman, fr.o.m. den 24 juni 2004

Sekreterare

Kanslirådet Tomas Forenius. fr.o.m. den 26 april 2006 Hovrättsassessorn Ingegärd Lind, fr.o.m. den 6 april 2004 Rådmannen Anna Tansjö, fr.o.m. den 1 maj 2003 t.o.m. den 11 juli 2006

Sammanfattning

Inledning

Våra förslag innefattar en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag, patientdatalagen. Den föreslagna regleringen innebär att patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) ersätts av den nya lagen. I denna lag, som gäller för alla vårdgivare oavsett huvudmannaskap, regleras bl.a. sådana frågor som skyldigheten att föra patientjournal, inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar genom direktåtkomst eller på annat elektroniskt sätt samt nationella och regionala kvalitetsregister. Härutöver föreslår vi ändringar i bl.a. sekretesslagstiftningen på hälso- och sjukvårdens område.

Författningsförslagen har delvis karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Den närmare regleringen i vissa generella frågor skall således kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. Förslagen kan ses som en del av den process som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Den centrala utgångspunkten för förslagen är att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter att man inte överger principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet. I förlängningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.

Förslaget till patientdatalag

Lagens tillämpningsområde, m.m.

Patientdatalagen gäller i vårdgivares kärnverksamhet

Patientdatalagen skall tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

All automatiserad behandling och viss manuell behandling av personuppgifter omfattas

Tillämpningsområdet för patiendatalagen omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvården. Vissa särbestämmelser finns dock beträffande nationella och regionala kvalitetsregister, se nedan. Patientdatalagen kompletterar personuppgiftslagen (1998:204), vilket innebär att när reglering saknas i patientdatalagen kommer personuppgiftslagens bestämmelser att vara tillämpliga. Vissa bestämmelser i lagen, bl.a. sådana som rör dokumentation m.m. i patientjournaler, gäller även om behandlingen sker helt manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.

Personuppgiftslagens regler gäller när verksamhet inte omfattas av patientdatalagen

Personuppgiftsbehandling i verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patient-

nämnder eller läkemedelskommittéer. Även hos en vårdgivare som omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som faller utanför lagens tillämpningsområde. Så är exempelvis fallet i den rent administrativa verksamheten som saknar direkt koppling till patientverksamheten. Sådan särskild personuppgiftsbehandling som sker uteslutande för forskningsändamål eller utbildningsändamål faller också utanför patientdatalagens tillämpningsområde.

Ändamål för personuppgiftsbehandlingen, m.m.

Ändamål

De ändamål för vilka personuppgifter enligt den föreslagna lagen får samlas in och även i övrigt behandlas inom hälso- och sjukvården är:

1. patientjournalföring och annan dokumentation som behövs i

och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation),

2. utförande av annan dokumentation som följer av lag, förord-

ning eller annan författning,

3. systematisk och fortlöpande utveckling och säkring av hälso-

och sjukvårdens kvalitet (Kvalitetssäkring),

4. administration, planering, uppföljning, utvärdering och tillsyn

av hälso- och sjukvårdsverksamheten och

5. framställning av statistik rörande hälso- och sjukvård

Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–5 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen. Det innebär att personuppgifter som redan finns i hälso- och sjukvårdsverksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.

Samkörning

Några särskilda bestämmelser om samkörning föreslås inte. Samkörning är alltså tillåten förutsatt bl.a. att den faller inom ramen för något eller några av de ändamål som anges i patientdatalagen.

Personuppgiftsansvar

I patientdatalagen anges att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. I lagen finns också vissa särskilda bestämmelser om personuppgiftsansvar vid sammanhållen journalföring och vid registerföring i nationella och regionala kvalitetsregister.

Personuppgifter som får behandlas

Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs får behandlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även i privata vårdgivares verksamhet. I övrigt föreslås inga särbestämmelser om sådana personuppgiftskategorier som särregleras i personuppgiftslagen.

Den enskildes inställning till personuppgiftsbehandlingen

I patientdatalagen föreskrivs att personuppgiftsbehandling enligt lagen får ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Några sådana undantag följer av patientdatalagen. Dessa undantag avser situationer, förenklat uttryckt, då den enskilde ges möjlighet att förhindra att uppgifter om honom eller henne sprids inom hälso- och sjukvården. Vidare klargörs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning.

Begränsningar för sökbegrepp

Känsliga personuppgifter som avses i 13 § personuppgiftslagen samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får enligt patientdatalagen inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

Undantag från förbuden gäller dock i fråga om uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Sådana uppgifter får alltså användas som sökbegrepp, om det behövs för något tillåtet ändamål. Vidare kan, om regeringen föreskriver om det, ett landsting eller en kommun få använda personuppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

En ny reglering av patientjournalföringen

Vi föreslår att åtskilliga bestämmelser i patientjournallagen förs över i huvudsak oförändrade till patientdatalagen. Detta gäller bestämmelserna om krav på journalföring, om vem som är skyldig att föra patientjournal, om skyldigheten att på begäran av patienten utfärda intyg om vården, om rättelse av journaluppgifter, om journalförstöring, om anteckning i journalen när en journalhandling lämnas ut, om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler, om utlämnande av uppgifter ur omhändertagna journalhandlingar, om bevarande av journalhandling och om signeringskrav. Det föreslås dock en bestämmelse som bemyndigar regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från signeringskravet. Även vissa av bestämmelserna i patientjournallagen om vilka uppgifter en patientjournal skall innehålla föreslås föras över till patientdatalagen. Patientjournallagens bestämmelser om att journalhandlingar som upprättas inom hälso- och sjukvården som huvudregel skall vara skrivna på svenska språket förs över till patientdatalagen.

Vi föreslår vidare att det i patientdatalagen införs en bestämmelse om hur mycket information som en patientjournal får innehålla. Bestämmelsen motsvarar nuvarande reglering i vårdregisterlagen om vad ett vårdregister får innehålla. Vi föreslår också att det skall antecknas i patientjournalen, om en patient anser att en uppgift i journalen är oriktig eller missvisande.

En bestämmelse som delvis motsvarar patientjournallagens bestämmelse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så att patientens integritet respekteras finns också i patientdatalagen. I patientdatalagen har bestämmelsen dock fått ett vidare tillämpningsområde och gäller all utformning av personuppgifter, således inte bara vid journalföring.

En sammanhållen journal?

Vi har bl.a. haft i uppdrag att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patientjournal för varje patient. Enligt vår bedömning saknas i dag, trots den snabba utveckling som äger rum på IT-området, grundläggande förutsättningar att införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Vi bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem. Enligt vår bedömning är det även osäkert om och i så fall när en sammanhållen patientjournal av mera begränsat slag skulle kunna genomföras. I linje med detta föreslås inte att det skall införas någon skyldighet att på något område föra journal över vårdgivargränser.

Vi avvisar också en nyordning som skulle innebära att patienten äger sin journal eller att journalen inte längre skall vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.

Sammanhållen journalföring

Direktåtkomst för vårdgivare – sammanhållen journalföring

Vi föreslår att det i patientdatalagen införs en reglering som innebär att vårdgivare – under vissa förutsättningar – kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgif-

ter som behandlas för ändamål som rör vårddokumentation. Direktåtkomst innebär att uppgifter lämnas ut till en extern mottagare, i detta fall en annan vårdgivare, genom att behörig personal hos den senare vårdgivaren får en möjlighet att på eget initiativ elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Denna reglering gör det möjligt för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp olika slags system för sammanhållen journalföring. Genom den sammanhållna journalföringen ges en tillgänglighet till patientuppgifter som i praktiken låter informationen följa patienterna i olika vårdkedjor och vårdprocesser. Syftet med denna ordning är i första hand att genom utnyttjande av IT öka patientnyttan i form av ökad patientsäkerhet. Patientdatalagen styr däremot inte över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Enligt vår bedömning hindrar inte tryckfrihetsförordningen att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.

Patientens inflytande vid sammanhållen journalföring

Vi utgår från att patienten måste ges ett inflytande när det gäller andra vårdgivares möjlighet att få tillgång till uppgifter om patienten via sammanhållen journalföring. Två utgångspunkter har därvid gällt. Den ena är att inflytandet skall utformas med hänsyn till respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt möjligt skall utformas och genomföras i samråd med patienten. Den andra utgångspunkten har varit att hitta lösningar som är praktiskt smidiga och enkla att tillämpa. De får inte föranleda en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete.

Med dessa utgångspunkter ges patienten redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras (skede 1) en rätt att – efter att ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Om patienten motsätter sig att uppgifterna görs tillgängliga via sammanhållen journalföring, skall uppgifterna spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direktåtkomst får således inte förekomma till spärrade uppgifter. Det sagda utesluter emellertid inte att uppgifter som finns om en patient i

undantagsfall kan lämnas till en annan vårdgivare. Då är det emellertid inte fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sammanhållet journalföringssytem utan att uppgifter lämnas ut på annat sätt, exempelvis muntligen, se förslaget till 7 kap. 1 d § andra stycket sekretesslagen (1980:100). Ett system för sammanhållen journalföring får däremot innehålla information om att det finns spärrade uppgifter. Sådan information kan i enskilda vårdsituationer initiera en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. En spärr kan när som helst hävas på begäran av patienten.

Patienten ges vidare en rätt att själv bestämma om en vårdgivares hälso- och sjukvårdspersonal skall få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen (skede 2). Det handlar här om uppgifter som inte har spärrats av patienten. Normalt kommer patientens inställning i frågan att inhämtas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare.

För att en vårdgivare i skede 2 skall få bereda sig tillgång till ospärrade uppgifter genom sammanhållen journalföring krävs att uppgifterna kan antas ha betydelse för vården av patienten och att patienten samtycker till det. Om patientens samtycke inte kan inhämtas, får uppgifterna tas fram genom direktåtkomst om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Att patientens samtycke inte kan inhämtas kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan om vårdgivaren skall få bereda sig tillgång till uppgifterna. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. En patient som motsätter sig att vårdgivaren använder direktåtkomsten skall alltid respekteras.

Den sammanhållna journalföringen får i princip inte användas för andra syften än den individinriktade patientvården. Det innebär att direktåtkomsten till andra vårdgivares uppgifter inte får användas för exempelvis kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjukvården samt forskning. För allmänhetens förtroende för den nya ordningen med sammanhållen journalföring är det av vikt att den gränsöverskridande direktåtkomsten bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över.

Bestämmelserna om sammanhållen journalföring reglerar sammanfattningsvis bara ett visst sätt att göra patientjournaler elektroniskt tillgängliga över organisatoriska och formella gränser utan föregående

sekretessprövning (se nedan) i varje enskilt fall då direktåtkomsten används. Uppgifterna kan alltid begäras ut på annat sätt, varvid en sedvanlig sekretessprövning måste göras.

Personuppgiftsansvar vid sammanhållen journalföring

Även vid sammanhållen journalföring skall patientdatalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Regeringen får dock meddela föreskrifter om personuppgiftsansvar vid sammanhållen journalföring när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.

Inre sekretess m.m.

Hälso- och sjukvårdspersonalens rätt att ta del av uppgifter om patienter

Den som arbetar hos en vårdgivare får enligt patientdatalagen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. I lagen föreskrivs också att dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga – exempelvis befattningshavare inom hälso- och sjukvården som inte behöver uppgifterna för sitt arbete – inte får tillgång till dem. Med hantering och förvaring avses alla slags åtgärder som vidtas beträffande personuppgifterna.

Krav vid elektronisk patientjournalföring och övrig elektronisk patientdokumentation

När det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation finns i patientdatalagen en bestämmelse om elektronisk åtkomst som delvis motsvarar nuvarande reglering i 8 § vårdregisterlagen men som ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Vårdgivaren skall bestämma vill-

koren för hur personalen skall tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter i vårdgivarens verksamhet. Reglerna innebär att en vårdgivare skall göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Särskild uppmärksamhet skall ägnas åt tillgängligheten till skyddade personuppgifter. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

Skyldighet att dokumentera elektronisk åtkomst, m.m.

En skyldighet införs också för vårdgivaren att dokumentera och kontrollera elektronisk åtkomst. Genom att vårdgivaren är skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlingshistoriken eller loggen) blir det möjligt att göra kontroller i efterhand. Det räcker emellertid inte att göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppföljningskontroller skall göras systematiskt och fortlöpande. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att få information om åtkomst

Den enskilde patienten ges rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som skall ges till patienten får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att spärra tillgänglighet

Den enskilde patienten ges i patientdatalagen en rätt att begära att vårddokumentation spärras för elektronisk åtkomst från andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna

hör. Patienten ges genom denna regel ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet skall ses som ett utflöde av principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Spärren skall med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren skall också kunna forceras, om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Spärrade uppgifter kan i och för sig göras tillgängliga för annan vårdenhet eller vårdprocess på annat sätt än genom elektronisk åtkomst. Om en patient har klargjort att han eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde dock något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna. Information om att det finns spärrade uppgifter om barn kan ge anledning till extra vaksamhet samt övervägande om en anmälan enligt 14 kap. 1 § socialtjänstlagen (2001:453) skall göras till socialnämnden för att barnet skall få erforderligt skydd.

Direktåtkomst för patienten

Genom patientdatalagen får en vårdgivare medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Direktåtkomsten innebär att den enskilde själv elektroniskt kan bereda sig tillgång till informationen. Regleringen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direktåtkomst utan endast en möjlighet till detta. Det är förutsatt att den som begär och medges åtkomst till sina uppgifter också informeras om vart han eller hon kan vända sig för att få hjälp med att tyda dessa. En direktåtkomst behöver inte innebära en tillgång till samtliga uppgifter om den enskilde. Den enskilde får också medges direktåtkomst till dokumentation avseende elektronisk åtkomst till uppgifter om den enskilde (den s.k. behandlingshistoriken eller loggen).

Regeringen, eller den myndighet som regeringen bestämmer, bemyndigas att meddela föreskrifter om de krav på säkerhetsåtgärder

som skall gälla vid direktåtkomst. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela sådana föreskrifter.

Verksamhetsuppföljning

Verksamhetsuppföljning är av central betydelse för hälso- och sjukvårdens utveckling. Med verksamhetsuppföljning åsyftar vi i princip samma sak som avses med ”uppföljning, utvärdering och kvalitetssäkring” i 4 § 2 vårdregisterlagen. Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kostnadseffektivitet, produktivitet etc. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården.

Våra förslag innebär sammantaget ökade möjligheter när det gäller medicinsk, ekonomisk och annan verksamhetsuppföljning inom hälso- och sjukvården jämfört med i dag. Verksamhetsuppföljning är enligt patientdatalagen ett primärt ändamål och olika uppgifter om patienter kan samköras så länge det sker inom de ramar som ges av patientdatalagen och sekretesslagstiftningen. Vidare innebär patientdatalagen att myndigheter som bedriver hälso- och sjukvård i samma landsting får ha direktåtkomst till varandras personuppgifter. Som framgår nedan föreslår vi också att hälso- och sjukvårdssekretessen inte skall hindra att uppgifter lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Även uppföljning av hälso- och sjukvårdens samverkan med kommunernas omsorgsverksamhet underlättas genom regleringen i patientdatalagen jämfört med den nuvarande regleringen i vårdregisterlagen. Vi föreslår också vissa bestämmelser om verksamhetsuppföljning genom nationella och regionala kvalitetsregister, se nedan.

Nationella och regionala kvalitetsregister

Ändamål för behandling av personuppgifter i ett kvalitetsregister

Det är en central uppgift inom hälso- och sjukvården att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Inom hälso- och sjukvården förekommer olika metoder att mäta och utveckla kvaliteten i verksamheten. En metod är att samla och analysera patientbundna data om diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister. Vi har haft i uppdrag att föreslå en författningsreglering av personuppgiftsbehandlingen i nationella kvalitetsregister inom hälso- och sjukvården.

I patientdatalagen finns vissa särbestämmelser som gäller för kvalitetsregister till vilka personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå. I lagen regleras uttömmande för vilka ändamål som personuppgifter i sådana kvalitetsregister får behandlas. Personuppgifter får samlas in och behandlas för det övergripande och primära syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för vissa andra ändamål, nämligen bl.a. framställning av statistik eller forskning inom hälso- och sjukvårdsområdet.

Personuppgifter som får behandlas

I patientdatalagen förtydligas att det bara är sådana uppgifter som behövs för det primära ändamålet kvalitetssäkring av vård som får tas in i ett nationellt eller regionalt kvalitetsregister.

Vidare anges i lagen att den registrerades personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den registrerade.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

I patientdatalagen införs en bestämmelse som – till skillnad från vad som i dag gäller enligt personuppgiftslagen – ger den enskilde en rätt att slippa bli registrerad i ett nationellt eller regionalt kvali-

tetsregister. Denna rätt gäller även efter det att personuppgiftsbehandlingen har påbörjats. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifter om den enskilde som registrerats utplånas ur registret.

Allmänna frågor och bestämmelser

Allmänna bestämmelser om information

Den som är personuppgiftsansvarig enligt patientdatalagen skall se till att den registrerade får information om personuppgiftsbehandlingen. Personuppgiftslagens bestämmeler om information gäller även vid behandling av personuppgifter enligt patientdatalagen. I 25 § personuppgiftslagen anges vilken information som den personuppgiftsansvarige självmant skall lämna till den registrerade. Denna informationsskyldighet preciseras i patientdatalagen.

Informationen skall innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas. Informationen skall även innehålla upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att i vissa fall begära att uppgifter spärras, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 48 § samma lag till skadestånd. Vidare skall informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen skall informationen innehålla upplysningar om huruvida behandlingen är frivillig eller inte.

Information vid sammanhållen journalföring

I det fall en vårdgivare deltar i ett sammanhållet journalföringssystem skall den registrerade även informeras om vad den sammanhållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Information om personuppgiftsbehandling i nationella och regionala kvalitetsregister

Den enskilde skall informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Denna informationsskyldighet följer av patientdatalagens allmänna bestämmelse om information som skall lämnas den enskilde och av personuppgiftslagen. Därutöver föreslås att den registrerade särskilt skall upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare skall den enskilde informeras om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Dessutom föreslås att den registrerade särskilt skall informeras om till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Informationen skall lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart det kan ske.

Rättelse

Personuppgiftslagens bestämmelser om rättelse gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som sker enligt patientdatalagen. I sistnämnda lag görs en hänvisning till personuppgiftslagens regler om rättelse.

När det gäller rättelse av uppgifter i journalhandlingar har patientdatalagens bestämmelser om rättelse av journaluppgifter företräde.

Skadestånd

Personuppgiftslagens bestämmelser om skadestånd gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförts i strid mot patientdatalagens bestämmelser om personuppgiftsbehandling. I sist-

nämnda lag görs en hänvisning till personuppgiftslagens regler om skadestånd.

Säkerhet

Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter gäller också när personuppgifter behandlas enligt patientdatalagen. Därutöver anges i patientdatalagen vilka säkerhetsåtgärder som i vissa fall skall vidtas. Bestämmelser av sistnämnt slag rör bl.a. tilldelningen av behörighet för elektronisk åtkomst och kontrollen av denna.

Tillsynsmyndigheter

Datainspektionen är tillsynsmyndighet även då personuppgifter behandlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt skall dock alltjämt utövas av Socialstyrelsen.

Ikraftträdande- och övergångsbestämmelser

Patientdatalagen och de ändringar i andra författningar som föreslås skall träda i kraft den 1 januari 2008.

När patientdatalagen träder i kraft skall patientjournallagen och vårdregisterlagen upphöra att gälla.

Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister skall inte börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare skall bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information om sådan personuppgiftsbehandling inte gälla beträffande sådana personuppgifter som behandlats före den 1 januari 2009.

Förslaget till lag om ändring av sekretesslagen

Vi föreslår, som sagts ovan, att det införs en sekretessbrytande bestämmelse som i praktiken undanröjer hälso- och sjukvårdssekretessen mellan olika myndigheter inom hälso- och sjukvården i

samma landsting eller kommun. Syftet med undantaget är att sekretesslagstiftningen inte skall hindra organisationsförändringar inom hälso- och sjukvården. Undantaget gör det möjligt för exempelvis ett landsting att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter och kommer också att öka möjligheterna till verksamhetsuppföljning baserad på patientdata. Undantaget har tagits in i en ny paragraf, 7 kap. 1 d §, i sekretesslagen (1980:100).

Sammanhållen journalföring innebär, som sagts ovan, att myndigheter inom hälso- och sjukvården och privata vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte skall behöva göra någon sekretessprövning i varje enskilt fall, föreslås ett undantag i den nya paragrafen 7 kap. 1 d § sekretesslagen från hälso- och sjukvårdssekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett genom patientdatalagens regler om bl.a. patientens inflytande vid sådan journalföring. Något motsvarande undantag som det i sekretesslagen behövs inte för den enskilda hälso- och sjukvården.

Ett undantag från hälso- och sjukvårdssekretessen föreslås också i 7 kap. 1 d § sekretesslagen som gör det möjligt att lämna uppgifter till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen

Vi har gjort den bedömningen att det av patientsäkerhetsskäl behövs en bestämmelse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild skall kunna få nödvändig vård, omsorg etc. Vi föreslår därför att det införs ett undantag från hälso- och sjukvårdssekretessen som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. En förutsättning för sådant uppgiftslämnande är att den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att

uppgiften lämnas ut. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, skall det ske med urskillning och varsamhet. Den enskildes samtycke skall i första hand utverkas. Undantagsbestämmelsen har tagits in i 7 kap. 1 d § sekretesslagen.

För att möjliggöra kvalitetsregisterförares långtidsuppföjning av vårdkvalitet, föreslås en utvidgning av undantagen från den absoluta statistiksekretessen i 9 kap. 4 § sekretesslagen att omfatta också uppgift om avlidna och som rör dödsorsak eller dödsdatum. Sådana uppgifter föreslås få lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att ett utlämnande kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

En del ytterligare ändringar av i huvudsak redaktionell art föreslås i sekretesslagen.

Andra ändringsförslag

Våra förslag föranleder en del följdändringar i lagen (2001:499) om omskärelse av pojkar, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och lagen (2005:225) om rättsintyg i anledning av brott.

Summary

Introduction

Our proposals involve the cohesive regulation of the processing of personal data within the health and medical care services in a completely new act, the Patient Data Act. The proposed rules mean that the Patient Records Act (1985:562) and the Health Care Register Act (1998:544) are replaced by the new Act. The new Act, which applies to all care providers, regardless of who is the manager, regulates, among other things, such issues as the obligation to keep patient records, internal secrecy and electronic access within a care provider's operation, the disclosure of data and documents through direct access or by other electronic means, and national and regional quality registers. Moreover, we propose amendments to, among other things, the secrecy legislation within the area of the health and medical care services.

This statutory proposal partially has the character of framework legislation and specifies the fundamental principles to apply for information management regarding data on patients within all health and medical care services. It should be possible to make more detailed regulations on certain general issues through ordinances or, following authorisation by the Government, through public authority regulation. These proposals may be viewed as part of the ongoing process to, with the aid of IT, establish better cooperation between the stakeholders in the health and medical care services and improve patient orientation in the operation. The central point of departure for the proposals is to establish regulation that facilitates both enhanced patient security and strong protection of privacy. A precondition for this is that we do not abandon the principle that health and medical care should be based on respect for the patients' self-determination and privacy. There would otherwise be a risk of citizens losing confidence in the health and medical care services over time.

The proposed Patient Data Act

Scope of the Act, etc.

The Patient Data Act applies to the core operations of care providers

The Patient Data Act will be applied when processing personal data in the care provider's core operation, which means the provision of health and medical care for patients, including dental care. A 'care provider' refers to a government authority, county council and municipality as regards such health and medical care services that the authority, county council or municipality are responsible for and also other legal or natural persons who professionally conduct health and medical care.

All automated processing and certain manual processing of personal data is covered

The scope of the Patient Data Act completely or partially embraces the processing of personal data and the manual processing of personal data that is included in, or is intended to be included in, a structured compilation of personal data that is available for searching or compilation according to special criteria. This regulation is consequently not limited to special computerised registers, databases or other electronic compilations of data within the health and medical care services. However, there are certain special provisions regarding national and regional quality registers; see below. The Patient Data Act supplements the Personal Data Act (1998:204), which means that when the Patient Data Act does not contain any relevant rules, the provision of the Personal Data Act will apply. Certain provisions of the Act, among other things, those relating to documentation etc. contained in patient records, also apply if the processing is conducted entirely manually without the personal data forming part or being intended to form part of any structured compilation of data. In appropriate parts, the Act shall also apply in relevant respects to the processing of data relating to deceased persons.

The rules of the Personal Data Act apply when the operation is not covered by the Patient Data Act

The processing of personal data in operations that fall outside the scope of the Patient Data Act should be regulated in precisely the same way as they currently are by the Personal Data Act. Such operations include, for example, operations conducted by patient boards and pharmaceutical committees. There are care providers within the scope of the Act who also process personal data that falls outside the scope of the Act. For instance, such data may relate to purely administrative operations that are not directly linked to the patient operation. Such special personal data processing that occurs exclusively for the purposes of research or education consequently falls outside the scope of the Patient Data Act

The purpose of the processing of personal data, etc.

Purpose

The purposes for which personal data, according to the proposed Act, may be gathered and also otherwise processed within health and medical care services are:

1. maintenance of patient records and other documentation that

is necessary for the care of patients or that is necessary for administration relating to patients and aims to afford care in a particular case or which otherwise results from care in an individual case (Care documentation),

2. preparation of other documentation, as prescribed by act, ordi-

nance or other legislation,

3. systematic and ongoing development and assurance of the quality

of the health and medical care services (Quality assurance),

4. administration, planning, follow-up, evaluation and supervision

of the health and medical care operations, and

5. preparation of statistics relating to health and medical care.

In addition to this, personal data processed for purposes according to items 1–5 may be processed to satisfy the provision of data required to comply with act or ordinance. Otherwise, the 'principle of finality' contained in Section 9, first paragraph, item d of the Personal Data Act applies. This means that personal data that al-

ready exists in health and medical care service operations may be processed for purposes other than those for which they have been gathered, subject to the precondition that the new purposes are compatible with the previous purposes.

Combined runs

No special provisions on combined runs are proposed. Combined runs are consequently permitted provided, among other things, they fall within the frame of one or more of the purposes stated in the Patient Data Act.

Personal data liability

The Patient Data Act states that a care provider is the personal data controller for the processing of personal data conducted. At the county councils and municipalities, an authority is the personal data controller for the processing of personal data that the authority conducts. The Act also contains certain special provisions on personal data liability in the case of the maintenance of composite records and in the case of the maintenance of registers in the national and regional quality register.

Personal data that may be processed

Only such personal data as is necessary for the purpose for which the processing of personal data is conducted may be processed according to the Patient Data Act. It is made clear in the Act that data about legal offences etc., as referred to in Section 21 of the Personal Data Act, may also be processed in the operations of private care providers. Otherwise, no special provision is proposed regarding such personal data categories as are specially regulated by the Personal Data Act.

The position of the individual on the processing of personal data

It is prescribed in the Patient Data Act that the processing of personal data under the Act may also occur even if the individual opposes the processing of personal data. There may be exemptions to this

main rule according to act or ordinance. The Patient Data Act provides for some such exemptions. Put simply, these exemptions relate to situations where an individual is given an opportunity to impede data about them being disseminated within the health and medical care services. It is also made clear that processing of personal data extending beyond that allowed by the Patient Data Act may also be conducted, provided the individual has explicitly consented to such processing and unless otherwise prescribed by other provisions of the Patient Data Act or by another act or ordinance.

Restrictions on search terms

According to the Patient Data Act, sensitive personal data, as referred to in Section 13 of the Personal Data Act, and personal data on legal offences, etc., as referred to in Section 21 of the same Act, may not be used as search terms. Nor may data about someone having received assistance or other measures within the social services or having been the subject of measures under the Aliens Act (2005:716) be used as search terms.

However, there are exemptions from this prohibition regarding data relating to health or data about someone having been the subject of compulsory intervention under the Compulsory Mental Care Act (1991:1128) or the Act on Forensic Psychiatric Care (1991:1129). Such data may consequently be used as search terms if this is necessary for any permitted purpose. Furthermore, provided the Government makes rules on the matter, a county council or municipality may use personal data on ethnicity and data on someone having received assistance or other initiatives within the social services or been the subject of measures under the Aliens Act as a search term in order to effect certain kinds of compilations.

New regulation of the maintenance of patient records

We propose that the numerous provisions contained in the Patient Records Act are transferred basically unchanged to the Patient Data Act. This applies to provisions regarding: requirements to maintain records; on who is liable to keep patient records; on the obligation to issue a certificate concerning care on the request of the patient; on correction of record information; on the destruction of records;

on notes in records where a record is disclosed and the taking into care of patient records within the private health and medical care services; on the return of records taken into care; on the preservation of records; and signing requirements. However, a provision is proposed authorising the Government, or the authority appointed by the Government, to make regulations on exemptions from the signing requirement. It is also proposed that some of the provisions contained in the Patient Records Act on what information a patient record should contain should be transferred to the Patient Data Act. The provisions of the Patient Records Act, providing for records drawn up within the health and medical care services to be, as a main rule, written in Swedish, are transferred to the Patient Data Act.

We further propose that a provision be introduced to the Patient Data Act regarding what a patient record may contain. This provision corresponds to the current rule contained in the Health Care Register Act about what a health care register may contain. We also propose that if a patient considers information in the record to be incorrect or misleading, that this should be noted in the patient record.

The Patient Data Act also contains a provision corresponding in part with the provision contained in the Patient Records Act about information in patient records drawn up by the health and medical care services being formulated so that the privacy of the patient is respected. However, in the Patient Data Act, the provision has been given a wider scope and applies to all formulation of personal data; that is to say not just in connection with maintaining records.

A composite record?

We have, among other things, been directed to analyse the conditions for and the benefit of all care providers – throughout Sweden or within a county council district – having a composite patient record for each patient. Notwithstanding the rapid development taking place within the IT sector, the fundamental preconditions do not currently prevail in our opinion for the introduction of a composite record for each patient for all care providers. Legislation on an obligation to maintain records in a composite system are therefore not feasible and cannot be recommended. Nor do we consider that it would be appropriate at this moment in time to introduce such a mandatory comprehensive system. In our opinion, it is also

uncertain whether, and in that case when, composite patient records of a more limited kind could possibly be arranged. In line with this, it is not proposed that any obligation should be introduced to maintain records across care provider boundaries in any area.

We also reject a new system that would entail the patient owning their record or that the record should no longer be linked to the care provider in whose operation the maintenance of the records occurs.

Maintenance of composite records

Direct access for care provider – maintaining composite records

We propose that a rule be introduced into the Patient Data Act whereby care providers – subject to certain conditions – may gain direct access to each other's electronic records and other personal data that is processed for purposes relating to care documentation. 'Direct access' means that data is disclosed to an external recipient, in this case another care provider, by authorised personnel at the latter care provider being given the opportunity to, on their own initiative, make arrangements for and gain electronic access to data held by the releasing party. This regulation makes it possible for health care managers and private care providers to develop different kinds of systems for the maintenance of composite records. Through the maintenance of composite records, accessibility is provided to patient data that in practice allows the information to follow the patient in various care chains and care processes. The aim of this system is primarily to, through the use of IT, enhance patient benefit in the form of increased patient security. However, the Patient Data Act does not regulate the kinds of technical solutions or organisational structure chosen for the maintenance of composite records. In our opinion, the Freedom of the Press Act does not impede the authorities of the health and medical care services participating in the maintenance of composite records.

The patient's influence in the maintenance of composite records

Our point of departure is that the patient must be provided with influence regarding the possibility of other care providers gaining access to data through the maintenance of composite records. Two

points of departure have applied in this connection. One was that influence should be formulated taking into consideration respect for the patient's self-determination and privacy and that the care and processing should, as far as possible, be formulated and implemented in consultation with the patient. The other point of departure was to find solutions that are practically flexible and easy to apply. They should not give rise to administrative burdens or other significant additional work in the course of the daily work of the health and medical care services' personnel.

Applying these points of departure, the patient, already at the time of the relevant care regarding which a record is kept or when the data is otherwise documented (Phase 1), is afforded a right – after having been informed about what the maintenance of composite records means – to oppose care documentation relating to them being made available to other care providers. If the patient opposes the data being made available via the maintenance of composite records, access to the data shall be restricted for health and medical care personnel and others at other care providers. Direct access may consequently not be gained to restricted data. However, this does not exclude data about a patient being disclosed to another care provider in exceptional cases. However, this issue does not involve data being made available through direct access in a system for the maintenance of composite records, but that data is disclosed in another way, for example, verbally; see proposal for Chapter 7, Section 1d, second paragraph of the Secrecy Act (1980:100). However, a system for the maintenance of composite records may contain information that there is restricted information. Such information may in individual care situations prompt appropriate dialogue between the patient and the physician or other care personnel. A restriction can be revoked at any time at the patient's request.

The patient is also given the right to personally determine whether a care provider's health and medical care personnel should be permitted to use their access to get data from the care documentation of another care provider that is available in the composite records kept (Phase 2). This involves data that has not been restricted by the patient. Normally the patient's position regarding the matter will be ascertained in conjunction with the patient's initial contact with a new care provider.

In order for a care provider at Phase 2 to be able to be afforded access to unrestricted data through the maintenance of composite records, it is necessary that the data may be assumed to be of signi-

ficance for the care of the patient and that the patient consents to such access. If the patient's consent cannot be obtained, the data may be obtained through direct access if the data may be assumed to be of significance for the care that the patient necessarily needs.

The fact that the patient's consent cannot be obtained may result from the patient being unconscious or in far too serious a condition to adopt a position on whether the care provider should be afforded access to the data. Furthermore, the matter may be so urgent that there is no time to obtain consent. A patient who opposes the care provider using direct access should always be respected.

The maintenance of composite records may in principle not be used for purposes other than for individually oriented patient care. This means, for instance, that direct access to the data of other care providers may not be used for quality assurance and other medical and financial follow-up of health and medical care services and research. To maintain the confidence of the public in the new system for the maintenance of composite records, it is important that crossborder direct access is only used for purposes and in situations that the individual can anticipate and have control over.

In summary, the provisions on the maintenance of composite records only regulate a certain way of making the patient records available electronically across formal organisational boundaries without preceding consideration of secrecy (see below) in each individual case when direct access is used. It can always be requested that the data is released in another way, in which connection the customary consideration of secrecy must be conducted.

Personal data liability regarding the maintenance of composite records

The general rules on personal data liability under the Patient Data Act, providing that every authority within the health and medical care services or private care provider is the personal data controller for the processing of personal data that it conducts, will also apply regarding the maintenance of composite records. However, the Government may make regulations on personal data liability regarding the maintenance of composite records on overall issues concerning technical and organisational security measures.

Internal secrecy, etc.

The right of health and medical care personnel to gain access to patient data

Someone working at a care provider may, according to the Patient Data Act, gain access to documented information about a patient only if they participate in the care of the patient or if they need the information for other reasons for their work within the health and medical care service. This provision comprises both manually and electronically produced patient records and other documentation about patients. The Act also prescribes that documented personal data should be handled and stored so that unauthorised parties – for example, officers within the health and medical care services who do not need the data for their work – are unable to gain access to it. 'Handled' and 'stored' refers to all kinds of measures that are implemented regarding personal data.

Requirements regarding the maintenance of patient records and other electronic patient documentation

As regards the maintenance of electronic patient records and other electronic patient documentation, the Patient Data Act contains a provision on electronic access that partially corresponds to the current rule in Section 8 of the Health Care Register Act, but which imposes clearer requirements on the care provider as regards the authorisation system, etc. The care provider should determine conditions regarding how personnel should be allocated authorisation for electronic access to data about patients within the care provider's operation. These rules mean that the allocation of authorisations by care providers should be conducted on an active and individualised basis following analysis of what further information various categories of personnel and various kinds of operation need. Special attention should be devoted to the accessibility of protected personal data. More detailed provisions should be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.

Obligation to document electronic access, etc.

An obligation is also introduced for the care provider to document and check electronic access. By the care provider being liable to document all electronic access ('processing history' or 'log'), it will be possible to conduct retrospective checks. However, it is not sufficient to conduct follow-up checks in special cases where there may be a suspicion of unauthorised violation. Follow-up checks should be conducted systematically and on an ongoing basis. More detailed provisions should be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.

The patient's right to get information about access

The individual patient is given the right to request to receive information about what direct access and electronic access has occurred regarding electronically processed data concerning them. More detailed provisions on the information to be provided to the patient may be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.

The patient's right to restrict accessibility

The Patient Data Act affords the individual a right to request that the care documentation is restricted for electronic access from other care units, alternatively care processes, outside that to which the data belongs. Through this rule, the patient is provided with influence over access to data concerning them within a care provider's boundaries. This possibility should be regarded to be a result of the principle that health and medical care should be based on respect for the patient's self-determination and privacy and as far as possible should be performed and conducted in consultation with the patient. It should be possible for the restriction to be partially or completely lifted with the patient's consent, for example in a one-off care situation. It should also be possible for the restriction to be overridden if the patient's consent cannot be obtained and provided the infor-

mation may be deemed to be important for the care that the patient necessarily needs. Restricted data can as such be made accessible to another care unit or care process by a different means than electronic access. If a patient has explained that they do not wish the data about them to be disclosed from one care unit to another, it should not be possible for such disclosure of data to occur, except in emergencytype situations. Information about there being restricted data may be available to other care units or care processes, as is information about what care unit or care process restricted the data. Information about restricted data existing regarding a child may give cause to particular caution and deliberation regarding whether a report in accordance with Chapter 14, Section 1 of the Social Services Act (2001:453) should be made to the social welfare committee to ensure that the child gets the necessary protection.

Direct access for the patient

Through the Patient Data Act, a care provider may allow an individual direct access to such data about the individual personally that may be disclosed to them and which is processed for the purpose of care documentation. Direct access means that the individual can be afforded personal access to the information electronically. This rule does not constitute an obligation for a care provider to provide individuals with direct access, but only the opportunity to do so. It is expected that those requesting and those who have been granted access to their data can also be told who they may refer to in order to get help with understanding the data. Direct access does not need to involve access to all of the data about the individual. The individual may also be granted direct access to documentation regarding electronic access to data about the individual ('processing history' or 'log').

The Government, or the authority appointed by the Government, is authorised to make regulations on requirements for security measures that should apply for direct access. A precondition for direct access is that there are sufficiently secure technical solutions to verify the identification of the party requiring the data. It is intended that the National Board of Health and Welfare will issue such regulations, following consultation with the Data Inspection Board.

Operational follow-up

Operational follow-up is a core issue for the development of the health and medical care services. By 'operational follow-up', we basically mean the same thing as 'follow-up, evaluation and quality assurance', referred to in Section 4, Item 2 of the Health Care Register Act. Operational follow-up can be aimed at a multitude of different factors within the health and medical care services, for example, the measurement of the treatment results achieved and patient satisfaction or the measurement of resources applied in the form of expense for each input or other follow-up of cost efficiency, productivity, etc. Follow-up may also be conducted at different levels within the health and medical care services.

Our proposals taken overall involve, compared with today, increased opportunities as regards medical, financial and other operational follow-up within the health and medical care services. Operational follow-up is a primary aim according to the Patient Data Act and different data about patients can be used for combined runs as long as this takes place within the frameworks prescribed by the Patient Data Act and secrecy legislation. Furthermore, the Patient Data Act means that authorities that conduct health and medical care services in the same county council may have direct access to each other's personal data. As indicated below, we also propose that health and medical care secrecy should not impede data being disclosed by an authority within the health and medical care services within a municipality or a county council to another such authority in the same municipal or county council district. The follow-up of health and medical care cooperation with municipal home care operations may also be aided by the rules contained in the Patient Data Act compared with the current rules in the Health Care Register Act. We also propose certain provisions on operational follow-up through national and regional quality registers; see below.

National and regional quality registers

The purpose of the processing of personal data in a quality register

One of the central tasks of the health and medical care services is to systematically and continuously develop and secure the quality of the operation. Different methods exist for measuring and developing operational quality within the health and medical care services. One

method is to gather and analyse patient-related data about diagnosis, measures taken and the results of treatment, etc. in computerised quality registers. We have been assigned to propose a statutory rule on the processing of personal data in national quality registers within the health and medical care services.

Certain special provisions are contained in the Patient Data Act that apply to quality registers into which personal data has been gathered from several care providers and which facilitates comparisons within the health and medical care services at a national or regional level. The Act comprehensively governs the purposes for which personal data contained in such quality registers may be processed. Personal data may be collected and processed for the overall and primary aim of systematic and continuous development and in order to ensure the quality of the care. Personal data gathered may in addition also be processed for certain other purposes, namely, among other things, the production of statistics or research within the field of health and medical care.

Personal data that may be processed

The Patient Data Act clarifies that only such data as is necessary for the primary purpose of quality assurance of care may be entered into a national or regional quality register.

Furthermore, the Act prescribes that the personal identity (ID) number or name of the person registered may only be processed in a national or regional quality register if it is insufficient for quality assurance purposes to process coded personal data or personal data that only indirectly identifies the person registered.

Sensitive personal data, as referred to in Section 13 of the Personal Data Act and which does not relate to health, and also personal data about legal offences, etc., as referred to in Section 21 of the same act, may only be processed if the Government, or the authority appointed by the Government, consents to this in the specific case.

A provision is introduced into the Patient Data Act that – in contrast to the provisions applicable today under the Personal Data Act – provides the individual with the right to avoid being registered in a national or regional quality register. This right even applies after the processing of personal data has commenced. If an individual opposes the processing of personal data after it has been commenced,

the data about the individual that has been registered should be erased from the register.

General issues and provisions

General provisions on information

The party who is the personal data controller, in accordance with the Patient Data Act, must ensure that the person registered receives information about the processing of personal data. The provisions of the Personal Data Act on information also apply regarding the processing of personal data under the Patient Data Act. Section 25 of the Personal Data Act specifies which information the personal data controller can voluntarily disclose to the person registered. This information obligation is defined in the Patient Data Act.

The information should contain details about who the personal data controller is, the purpose of the processing and what categories of data are being processed. The information should also contain an explanation about the information obligation that may ensue according to act or ordinance, the secrecy and security provisions applicable to data and processing, the right to request that the data is restricted in certain cases, the right to receive information about the direct access and electronic access to data that has taken place, the right to gain access to data, according to Section 26 of the Personal Data Act, the right, according to Section 28 of the same act, to have incorrect or misleading data corrected, and the right, under Section 48 of the same act, to damages. Furthermore, such information should contain details about the rules applicable with regard to search terms, direct access and the disclosure of data on media for automatic processing and the provisions applicable regarding storage and erasure. Finally, the information should contain details of whether or not the processing is voluntary.

Information in connection with the maintenance of composite records

In the event that a care provider participates in a system for maintaining composite records, the person registered should also be informed of what the maintenance of composite records involves and that they can oppose their patient data being made available to other care providers through the maintenance of composite records.

Information about the processing of personal data in the national and regional quality registers

The individual should be informed about the processing of personal data in a national or regional quality register. This information obligation derives first from the general provisions of the Patient Data Act on information that must be provided to the individual and second from the Personal Data Act. It is proposed that the person registered should be specially informed about their right to at any time whatsoever have data about themselves erased from the register. Furthermore, the individual should be informed about the extent to which the processing of personal data relates to data collected from sources other than the patient record or the patient themselves, for example data gathered through combined runs with other registers. Furthermore, it is proposed that the person registered should be specially informed about the categories of recipient to whom personal data can be disclosed, for example that data may sometimes be disclosed for research purposes. This information should be provided before the processing of personal data is started or, if this is not possible, as soon as it can be provided.

Rectification

The provisions of the Personal Data Act on rectification apply to the processing of personal data that is completely or partially automated or where the data forms part of, or is intended to form part of, a structured compilation of personal data that is available for searching or compilation according to special criteria and which is conducted according to the Patient Data Act. The latter act refers to the Personal Data Act's rules on rectification.

As regards the rectification of data contained in records, the Patient Data Act's provisions on rectification of record data have priority.

Damages

The provisions of the Personal Data Act on damages apply to the processing of personal data that is completely or partially automated or where the data forms part of, or is intended to form part of, a structured compilation of personal data that is available for searching or compilation according to special criteria and which has been con-

ducted in violation of the Patient Data Act's provisions on the processing of personal data. The latter act refers to the Personal Data Act's rules on damages.

Security

The provisions of the Personal Data Act on security when processing data and the powers of the supervisory authorities also apply when personal data is processed according to the Patient Data Act. In addition, the Patient Data Act states which security measures should be implemented in certain cases. The provisions of the latter kind relate, among other things, to the grant of authorisation for electronic access and the authentication of this authorisation.

Supervisory authorities

The Data Inspection Board is the supervisory authority even when the personal data is processed under the Patient Data Act. However, supervision of compliance with the rules on maintaining records will still be exercised by the National Board of Health and Welfare.

Entry into force and transitional provisions

The Patient Data Act and the proposed amendments to other legislation will enter into force on 1 January 2008.

When the Patient Data Act enters into force, the Patient Records Act and the Health Care Register Act will cease to apply.

The application of the provisions of the Patient Data Act on national and regional quality registers will not start before 1 January 2009 with regard to any quality records that were started to be kept prior to the entry into force of the Patient Data Act. Furthermore, the provisions on the rights of the individual to oppose the processing of personal data in such quality registers and regarding information about such processing of personal data do not apply regarding personal data processed prior to 1 January 2009.

Proposed act amending the Secrecy Act

We propose, as stated above, the introduction of a provision for the breaking of secrecy, which in practice will remove health and medical care secrecy between the different authorities within the health and medical care services in the same county council or municipality. The aim of this exemption is that the secrecy legislation should not impede organisational changes within the health and medical care services. This exemption makes it possible, for instance, for a county council to freely determine the structure it wishes to have without regard to secrecy applying in principle between authorities. It will also enhance the opportunities for operational follow-up based on patient data. This exemption has been included in a new paragraph, Chapter 7, Section 1d of the Secrecy Act (1980:100).

The maintenance of composite records means, as stated above, that the authorities within the health and medical care services and private care providers may under certain preconditions gain direct access to each other's electronic records and other personal data that is processed for purposes relating to care documentation. It is proposed that an exemption from health and medical care secrecy is introduced in the new paragraph, Chapter 7, Section 1d of the Secrecy Act to ensure that care providers who make data available to other care providers when maintaining composite records do not need to review the question of secrecy in every individual case. This exemption means that secrecy does not impede the data being disclosed to an authority within the health and medical care services or to an individual care provider according to the provisions of the Patient Data Act on the maintenance of composite records. The protection of personal privacy in the case of maintenance of composite records is satisfied by the rules of the Patient Data Act on, among other things, the patient's influence in connection with the keeping of such records. No corresponding exemption as that contained in the Secrecy Act is required for private health and medical care services.

An exemption from health and medical care secrecy is also proposed by Chapter 7, Section 1d of the Secrecy Act, which makes it possible to disclose data to a national or regional quality register under the Patient Data Act

We have made the assessment that, for patient security reasons, a provision is required regarding the breaking of secrecy within the area of care and nursing services in order for an individual to be able to get the care, nursing, etc. that is necessary. We therefore propose

the introduction of an exemption from health and medical care secrecy whereby secrecy will not impede data about an individual, that is required so that they will be able to get the necessary care, nursing or treatment or other support, being disclosed by an authority within the health and medical care services to another authority within the health and medical care services or the social services or to a private care provider or a private operation within the area of social services. A precondition for the disclosure of such data is that the individual, owing to their health status or for other reasons, cannot consent to the disclosure of the data. The exemption may not be routinely applied. It should be applied with caution and discretion in every individual case. The individual's consent should be obtained in the first instance. This exemption provision has been included in Chapter 7, Section 1d of the Secrecy Act.

In order to facilitate the long-term follow-up of care quality by the party keeping the quality register, an extension is proposed to the exemption from absolute statistical secrecy, contained in Chapter 9, Section 4 of the Secrecy Act, to also cover data about deceased persons and relating to the cause of death and the date of death. It is proposed that such data may be disclosed for the purpose of quality assurance within the health and medical care services conducted through national or regional quality registers, provided it is clear that disclosure can be effected without the individual or a person closely-related to the individual suffering any harm or inconvenience.

Some further amendments to the Secrecy Act of a basically editorial nature are proposed.

Other proposed amendments

Our proposal gives cause for a number of consequential amendments to the Act relating to the Circumcision of Boys (2001:499), the Biobanks in Medical Care Act (2002:297) and the Forensic Certificates owing to Crime Act (2005:225).

Författningsförslag

1. Förslag till patientdatalag

Härigenom föreskrivs följande.

1 kap. Lagens tillämpningsområde m.m.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Respekt för enskildas integritet

2 § Personuppgifter skall utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga inte får tillgång till dem.

Definitioner

3 § I denna lag används följande beteckningar med nedan angiven betydelse.

Beteckning Betydelse Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder.

Patientjournal En eller flera journalhandlingar som rör samma patient.

Sammanhållen journalföring En gemensam databas eller ett annat elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

Vård Vård, undersökning och behandling inom hälso- och sjukvården.

Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

Förhållandet till personuppgiftslagen

4 § Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag.

2 kap. Grundläggande bestämmelser om behandling av

personuppgifter

Kapitlets tillämpningsområde

1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.

Den enskildes inställning till personuppgiftsbehandling

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.

I 4 kap. 4 §, 6 kap. och 7 kap. 2 § finns bestämmelser om att en personuppgiftsbehandling inte är tillåten om patienten motsätter sig den eller inte samtycker till den.

3 § En behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.

Av 6 kap. 5 § framgår att den enskilde i ett visst fall inte kan samtycka till en behandling av personuppgifter som inte är tillåten enligt denna lag.

Regeringen får föreskriva att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.

Ändamål för personuppgiftsbehandlingen

4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2. administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,

5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller

6. framställning av statistik rörande hälso- och sjukvård. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvalitetsregister.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgiftsansvar

6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

7 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas. Även en vårdgivare som inte är myndighet får behandla sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).

Sökbegrepp

8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får föreskriva att ett landsting eller en kommun, utan hinder av vad som anges i första stycket, får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

3 kap. Skyldigheten att föra patientjournal

Inledande bestämmelse

1 § Vid vård av patienter skall föras patientjournal. Patientjournal skall föras för varje patient och får inte vara gemensam för flera patienter.

I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring.

Personer som är skyldiga att föra patientjournal

2 § Skyldig att föra patientjournal är

1. den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke,

2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,

3. den som är verksam som kurator i den allmänna hälso- och sjukvården.

Ansvar för uppgifter i patientjournal

3 § Den som för patientjournal svarar för sina uppgifter i journalen.

Patientjournalens innehåll

4 § En patientjournal får endast innehålla de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

5 § En patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten.

Om uppgifterna föreligger, skall en patientjournal alltid innehålla

1. uppgift om patientens identitet,

2. väsentliga uppgifter om bakgrunden till vården,

3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,

4. väsentliga uppgifter om vidtagna och planerade åtgärder, och

5. uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.

Patientjournalen skall vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

6 § I lag eller förordning finns, för vissa fall, regler om att en patientjournal skall innehålla ytterligare uppgifter.

7 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall det antecknas i journalen.

8 § Uppgifter som skall antecknas enligt 5–7 §§ skall föras in i journalen så snart det kan ske.

9 § En journalanteckning skall om inte synnerligt hinder möter signeras av den som svarar för uppgiften.

10 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

11 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva undantag från bestämmelsen i 5 § andra stycket 1 såvitt gäller provtagning för viss sjukdom och från bestämmelsen om signeringskrav i 9 §.

Regeringen, eller den myndighet som regeringen bestämmer, får också meddela ytterligare föreskrifter om en journalhandlings innehåll och utformning.

Språket i patientjournaler

12 § De journalhandlingar som upprättas inom hälso- och sjukvården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att en sådan journalhandling får vara skriven på ett annat språk än svenska.

Hantering av journalhandlingar

13 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 3 §.

Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den.

14 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva hur journalhandlingar skall hanteras och förvaras.

Skyldighet att utfärda intyg om vården

15 § Den som enligt 2 § är skyldig att föra patientjournal skall på begäran av patienten utfärda intyg om vården.

Bevarande av journalhandlingar

16 § En journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år.

Om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns det särskilda föreskrifter i 9 kap. 4 §.

I lag finns, för vissa fall, regler om att journalhandlingar skall bevaras under en längre tid än minst tre år.

17 § För journalhandlingar som utgör allmän handling gäller, med de undantag som följer av 16 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.

Patientjournaler i krig m.m.

18 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

4 kap. Grundläggande bestämmelser om inre sekretess och

elektronisk åtkomst i en vårdgivares verksamhet

Inre sekretess

1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Tilldelning av behörighet för elektronisk åtkomst

2 § En vårdgivare skall bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om tilldelning av behörighet för åtkomst till uppgifter, som förs helt eller delvis automatiserat.

Kontroll av elektronisk åtkomst

3 § En vårdgivare skall genomföra åtgärder som innebär att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare skall genomföra systematiska och återkommande kontroller av om obehörig åtkomst till sådana uppgifter förekommer.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 § Personuppgifter, som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess, får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall skall uppgiften genast spärras.

Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna.

5 § En spärr enligt 4 § får hävas av en behörig befattningshavare hos vårdgivaren, om

– patienten samtycker till det, eller – patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

5 kap. Grundläggande bestämmelser om utlämnande av

uppgifter och handlingar samt viss uppgiftsskyldighet

Bestämmelser i andra lagar

1 § Om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns bestämmelser i tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser som kan begränsa möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.

Myndighets uppgiftsskyldighet avseende journal upprättad inom enskild hälso- och sjukvård

3 § En myndighet som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

Utlämnande genom direktåtkomst

4 § Direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av annan sådan myndighet i samma landsting eller kommun. Ytterligare bestämmelser om direktåtkomst finns i denna lag i 5 §, 6 kap. och 7 kap. 9 §.

5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som skall gälla vid sådan direktåtkomst.

Utlämnande på medium för automatiserad behandling

6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

6 kap. Sammanhållen journalföring

Direktåtkomst till uppgifter hos en annan vårdgivare

1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Uppgift om att det finns spärrade uppgifter får dock göras tillgänglig.

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, skall patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig den.

Om en patient motsätter sig sammanhållen journalföring, skall uppgifterna genast spärras. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.

3 § För att en vårdgivare skall få bereda sig tillgång till uppgifter som inte är spärrade enligt 2 § tredje stycket krävs att

1. uppgifterna rör en patient som det finns en aktuell patientrelation med,

2. uppgifterna kan antas ha betydelse för vården av patienten, och

3. patienten samtycker till det.

Vårdgivaren får även bereda sig tillgång till sådana uppgifter om

1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,

2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 15 §, och

3. patienten samtycker till det.

4 § En vårdgivare får bereda sig tillgång till en annan vårdgivares uppgifter om en patient, om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Detta gäller endast om uppgifterna inte är spärrade enligt 2 § tredje stycket.

5 § En vårdgivare får inte bereda sig tillgång till uppgifter som är tillgängliga genom sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det.

Personuppgiftsansvar vid sammanhållen journalföring

6 § Regeringen får meddela föreskrifter om vem som skall ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

Behörighetstilldelning och åtkomstkontroll

7 § Vad som sägs i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.

Bevarande och gallring

8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 16 § att bevara en journalhandling endast den vårdgivare som ansvarar för handlingen.

Om en journalhandling eller annan handling är tillgänglig för en myndighet endast genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra den från sitt arkiv.

7 kap. Nationella och regionala kvalitetsregister

Inledande bestämmelse

1 § Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare och vilka möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Den enskildes inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.

Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifterna utplånas ur registret så snart det kan ske.

Information

3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister skall den som är personuppgiftsansvarig se till att den enskilde, utöver den information som skall lämnas enligt 8 kap. 5 §, får information om

1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,

2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, skall den lämnas så snart det kan ske.

Kvalitetsregisters ändamål

4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för

1. framställning av statistik,

2. forskning inom hälso- och sjukvårdsområdet,

3. utlämnande till den som skall använda uppgifterna för ändamål som anges i 4 § eller 1 och 2, och

4. fullgörande av annan uppgiftsskyldighet som följer av lag eller förordning än den enligt 15 kap. 5 § sekretesslagen (1980:100).

6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än dem som anges i 4 och 5 §§.

Personuppgiftsansvar

7 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central organisering, lagring, bearbetning eller annan central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.

Regeringen, eller den myndighet som regeringen bestämmer, får medge undantag från första stycket.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personupp-

gifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

Utlämnande genom direktåtkomst

9 § En vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret.

Bevarande och gallring

10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister skall gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Om regeringen meddelat föreskrifter enligt 7 § andra stycket, får den också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

8 kap. Rättigheter för den enskilde

Rätt att ta del av uppgifter

1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller

kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

I fråga om överklagande av Socialstyrelsens beslut enligt andra stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).

Förstörande av patientjournal

3 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Socialstyrelsen förordna att journalen helt eller delvis skall förstöras. Förutsättningarna för detta är att

– godtagbara skäl anförs för ansökan, – patientjournalen eller den del därav som ansökan avser uppenbarligen inte behövs för patientens vård, och

– det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen. Innan ansökan slutligt prövas, skall den som ansvarar för en journalhandling som omfattas av ansökan beredas tillfälle att yttra sig.

Om Socialstyrelsen har avslagit en ansökan om förstöring av en patientjournal, får beslutet överklagas hos allmän förvaltningsdomstol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Information

4 § En vårdgivare skall på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om den information som skall ges till patienten.

5 § Den som är personuppgiftsansvarig enligt denna lag skall se till att den registrerade får information om personuppgiftsbehandlingen.

Informationen skall innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med behandlingen,

3. vilka kategorier av uppgifter som behandlas,

4. den uppgiftsskyldighet som kan följa av lag eller förordning,

5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

7. rätten enligt 4 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,

8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

9. rätten enligt 28 § personuppgiftslagen till rättelse av oriktiga eller missvisande uppgifter,

10. rätten enligt 48 § personuppgiftslagen till skadestånd vid behandling av personuppgifter i strid mot denna lag,

11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

12. vad som gäller i fråga om bevarande och gallring, samt 13. huruvida personuppgiftsbehandlingen är frivillig eller inte. I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som skall lämnas i vissa fall.

Rättelse

6 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i 3 kap. 13 §.

Skadestånd

7 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Andra rättigheter enligt denna lag

8 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 7 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

9 kap. Omhändertagande och återlämnande av patientjournal

Förutsättningar för omhändertagande

1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt föreskrifterna i denna lag eller enligt föreskrifter som meddelats med stöd av lagen, får Socialstyrelsen besluta att de skall tas om hand.

Socialstyrelsen får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om

– den som ansvarar för hanteringen av journalerna ansöker om det, och

– det finns ett påtagligt behov av att journalerna tas om hand.

Förutsättningar för återlämnande

2 § En omhändertagen patientjournal skall återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Ansvaret för omhändertagna journaler

3 § Patientjournaler som omhändertagits enligt 1 § skall förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.

Bevarande av omhändertagna journaler

4 § Omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.

Verkställighet av beslut om omhändertagande

5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.

Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

Överklagande

6 § Socialstyrelsens beslut i fråga om omhändertagande eller återlämnande av patientjournaler får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister upphör att gälla.

2. Bestämmelserna i 7 kap. skall inte börja tillämpas förrän den 1 januari 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.

3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 januari 2009.

2. Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs i fråga om sekretesslagen (1980:100)

dels att 7 kap. 1 c, 2, 3 och 6 §§, 9 kap. 4 §, 14 kap. 2 § samt 16 kap. 1 § skall ha följande lydelse,

dels att det i lagen skall införas två nya paragrafer, 7 kap. 1 d och 1 e §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 kap.

1 c §

Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.

Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

En landstingskommunal eller kommunal myndighet som bedriver verksamhet som avses i första

En myndighet inom en kommun eller ett landsting som bedriver verksamhet som avses i

stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Vidare får utan hinder av sekretessen uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.

första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.

1 d §

Sekretess enligt 1 c § första stycket hindrar inte att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Sådan sekretess hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (0000:00). Sekretessen hindrar inte heller att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en

uppgift lämnas ut, hindrar sekretess enligt 1 c § första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

Sekretess enligt 1 c § första stycket hindrar inte heller att en uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.

1 e §

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

2 §

Sekretessen enligt 1 c § gäller inte

Sekretessen enligt 1 c eller 1 e § gäller inte

1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet angår frihetsberövande åtgärd,

2. beslut enligt smittskyddslagen (2004:168), om beslutet angår frihetsberövande åtgärd,

3. beslut i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården,

4. beslut i fråga om omhändertagande eller återlämnande av patientjournal.

Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.

Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c eller 1 e §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.

3 §

Sekretessen enligt 1 c § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

Sekretessen enligt 1 c eller 1 e § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

6 §

Sekretess gäller inom hälso- och sjukvården och annan verksamhet som avses i 1 c § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det

Sekretess gäller inom hälso- och sjukvården och annan verksamhet som avses i 1 c eller 1 e § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållan-

kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.

den, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

9 kap.

4 §

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men.

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (0000:00).

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.

14 kap.

2 §

Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för

1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,

2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller

3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.

Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.

Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.

Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.

För uppgift som omfattas av sekretess enligt 7 kap. 1 c–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller

3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

om inte annat följer av sjätte–åttonde styckena. Sekretess enligt 7 kap. 1 c §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

1. enligt 3, 4 eller 6 kap. brottsbalken eller

2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

Sekretess enligt 7 kap. 1 c §, 1 e §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

1. enligt 3, 4 eller 6 kap. brottsbalken eller

2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

Sekretess enligt 7 kap. 4 § första stycket eller andra stycket första meningen hindrar vidare inte att uppgift, som angår misstanke om

1. överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),

2. överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller

3. icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),

till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.

Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.

Sekretess enligt 7 kap. 1 c § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga

Sekretess enligt 7 kap. 1 c §, 1 e § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller

lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Nuvarande lydelse

16 kap.

1 §

Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

3. denna lag enligt – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

7 kap. 1 c § såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke

Föreslagen lydelse

16 kap.

1 §

Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

3. denna lag enligt – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

7 kap. 1 c eller 1 e § såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke

U

Denna lag träder i kraft den 1 januari 2008.

3. Förslag till lag om ändring i lagen (2001:499) om omskärelse av pojkar

Härigenom föreskrivs i fråga om lagen (2001:499) om omskärelse av pojkar att 2 § skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientjournallagen (1985:562).

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientdatalagen (0000:00).

U

Denna lag träder i kraft den 1 januari 2008.

4. Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 3 kap. 7 § och rubriken närmast före 4 kap. 6 § skall ha följande lydelse,

dels att det i lagen skall införas nya paragrafer, 4 kap. 4 a och 6 a §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

7 §

Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt.

Särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen (1985:562).

Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt i anslutning till biobanken samt i provgivarens patientjournal.

4 kap.

4 a §

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till utlämnandet av journalhandlingen. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204).

Vägran att lämna ut vävnadsprover

Vägran att lämna ut vävnadsprover m.m.

6 a §

Frågor om utlämnande av en journalhandling enligt 4 a § prövas av den som är ansvarig för patientjournalen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

Ifråga om överklagande av Socialstyrelsens beslut enligt första stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).

U

Denna lag träder i kraft den 1 januari 2008.

5. Förslag till lag om ändring i lagen (2005:225) om rättsintyg i anledning av brott

Härigenom föreskrivs i fråga om lagen (2005:225) om rättsintyg i anledning av brott att 5 och 7 §§ skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Ett rättsintyg får inte utfärdas utan den enskildes samtycke, om inte annat följer av andra eller tredje stycket.

Ett rättsintyg som avser en målsägande får utfärdas utan samtycke

1. vid misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år eller försök till brott för vilket inte är stadgat lindrigare straff än fängelse i två år,

2. vid misstanke om försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

3. vid misstanke om brott enligt 3, 4 eller 6 kap. brottsbalken eller brott som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor, mot någon som inte har fyllt arton år, eller

4. om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c § sekretesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.

4. om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.

Ett rättsintyg som avser den som är misstänkt för brott får utfärdas utan samtycke

1. i samband med kroppsbesiktning enligt 28 kap. rättegångsbalken, eller

2. om annan undersökning än kroppsbesiktning har ägt rum och det föreligger misstanke om sådant brott som avses i andra stycket 1–3.

7 §

Från en verksamhet där sekretess gäller enligt 7 kap. 1 c § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att utfärda ett rättsintyg om

Från en verksamhet där sekretess gäller enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att utfärda ett rättsintyg om

1. det begärs av Rättsmedicinalverket, och

2. uppgifterna angår misstanke om sådant brott som avses i 5 § andra stycket 1–3.

Bestämmelser om utlämnande av uppgifter till polismyndighet och åklagarmyndighet i vissa fall finns i 14 kap. 2 § sekretesslagen. ––––––––––––

Denna lag träder i kraft den 1 januari 2008.

BAKGRUND

1. Vårt uppdrag och arbete

1.1. Vårt uppdrag

Enligt våra ursprungliga direktiv (dir. 2003:42) skall vi utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården. Vi skall även överväga om särskild författningsreglering behövs för de regionala cancerregistren, Socialstyrelsens donationsregister och metadonregister samt de planerade vaccinations- och blodgivarregistren.

I vårt arbete stötte vi på flera frågor som gäller gränsdragningen mellan en reglering av nationella kvalitetsregister och övrigt reglering, främst lagen (1998:544) om vårdregister (vårdregisterlagen

)

.

Eftersom det sedan tidigare fanns ett behov av en bredare översyn av personuppgiftsbehandlingen inom hälso- och sjukvården, utvidgades vårt uppdrag genom tilläggsdirektiv (dir. 2004:95).

Genom tilläggsdirektiven fick vi det övergripande uppdraget att se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerade och sammanhängande reglering av området. Regleringen skall omfatta behandlingen av personuppgifter i den medicinska vården, den kvalitetsförbättrande verksamheten, forskningen och den administrativa verksamheten inom hälso- och sjukvården. Vi skall vid utformningen av våra förslag utgå från hur personuppgifter bör hanteras i syfte att öka patientsäkerheten och möjligheterna till patientmedverkan, förbättra såväl den medicinska som den ekonomiska uppföljningen samt minska administrationen samtidigt som hanteringen av personuppgifterna säkras och den personliga integriteten skyddas.

I uppdraget ingår att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare sammanhållen patientjournal för varje patient, på nationell eller regional nivå. Om vi finner att en sammanhållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall vi granska och analysera förutsättningarna

i övrigt för att överföra personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård.

I uppdraget ingår vidare en översyn av bestämmelserna i patientjournallagen (1985:562) och vårdregisterlagen samt ett antal frågor som rör läkemedelsområdet.

Enligt ytterligare tilläggsdirektiv (dir. 2005:150) skall den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhållen patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med anledning av dessa uppgifter redovisas genom delbetänkande.

I vårt slutbetänkande kommer övriga delar av vårt uppdrag att behandlas. Dessa delar innefattar bl.a. frågor om en särskild författningsreglering av de regionala cancerregistren och det nationella vaccinationsregister som i dag förs av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen, en översyn av regleringen av Läkemedelsverkets uppföljning av läkemedels ändamålsenlighet, frågor om landstingens möjligheter att kunna bedriva uppföljning, utvärdering och kvalitetssäkring av läkemedelsförskrivning inom vården samt en generell översyn av lagen (1996:1156) om receptregister.

Direktiven framgår i sin helhet av bilaga 1–3.

1.2. Arbetets bedrivande

Vi hade vårt första sammanträde den 11 juni 2003 och har därefter haft ytterligare 30 sammanträden inom utredningen, inklusive ett tvådagars internatsammanträde.

För att informera oss om den behandling av personuppgifter som pågår i nationella kvalitetsregister inom hälso- och sjukvården och för att inhämta synpunkter i olika avseenden har vi gjort studiebesök vid Uppsala Clinical Research Center (UCR), Nationellt kompetenscentrum för ortopedi (NKO) vid Sahlgrenska sjukhuset i Göteborg, kompetenscentrumet Eyenet Sweden i Karlskrona och regionala onkologiska centrumet vid Karolinska sjukhuset i Stockholm.

Vidare har vi besökt Helsingborgs lasarett, Husläkarna i Österåker, Psykiatrin Nordvästra Skåne, Råcksta Husläkarmottagning, Universitetssjukhuset i Lund, Sophiahemmet och Vårdcentralen Ramlösa för att informera oss om dagens patientjournalföring och för att inhämta synpunkter på bl.a. frågan om en sammanhållen journal. Vi

har även gjort ett studiebesök vid Regionarkivet i Skåne län för att informera oss om arkivfrågor.

Vi har under arbetets gång informerats av företrädare för Carelink, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget i Östergötland, Landstinget i Dalarna, Norrbottens läns landsting och Smittskyddsinstitutet om de utvecklingsprojekt som pågår på området.

Vi har även deltagit i studiebesök vid Department of Health och National Health Service i England, vilka båda arrangerats av Sveriges Kommuner och Landsting.

Vidare har vi deltagit i olika konferenser med anknytning till vårt uppdrag.

För att få en uppfattning om hur frågan om den registrerades samtycke hanteras i samband med registerföringen i nationella kvalitetsregister och om vilken information om registerföringen som lämnas till de registrerade har vi under hösten 2003 genomfört en enkätundersökning bland ett knappt sextiotal registerhållare för nationella kvalitetsregister.

Vidare har vi under hösten 2005 låtit Statistiska centralbyrån genomföra en enkätundersökning. Syftet med undersökningen var att få fram allmänhetens inställning till skapandet av en enda elektronisk journal för varje patient och till andra frågor som rör patientjournaler. En kort sammanfattning av undersökningen återfinns i bilaga 4.

Vi har även anordnat hearingar till vilka företrädare för ett stort antal patient-, anhörig- och pensionärsorganisationer samt yrkesförbund inom hälso- och sjukvården bjudits in.

Under arbetets gång har vi har mottagit skriftliga och muntliga synpunkter från allmänheten rörande vårt uppdrag.

I enlighet med direktiven har samråd ägt rum med InfoVU-projektet, Carelink, Näringslivets Regelnämnd (NNR) och generaldirektören Karin Lindell, som haft i uppdrag att biträda Justitiedepartementet med en analys rörande försäkringsbolags tillgång till patientjournaler (Ju 2004:C). Vidare har under arbetets gång samråd skett med Nationell psykiatrisamordning (S 2003:09) och Utredningen om ett nationellt register över personer som utövar alternativ- eller komplementärmedicin (S 2004:03) samt – på sekretariatsnivå – med Ansvarskommittén (Fi 2003:02). Vi har även haft möten med företrädare för Socialstyrelsen och Sveriges Kommuner och Landsting.

Slutligen har utredningen varit representerad i Referensgruppen till Nationella ledningsgruppen för IT i vård och omsorg.

1.3. Betänkandets disposition

Efter de inledande bakgrundsavsnitten innehåller betänkandet i avsnitt 6 några allmänna utgångspunkter för våra överväganden. I avsnitt 7 och 8 behandlas våra förslag om en ny lag och dess grundläggande bestämmelser om personuppgiftsbehandling. Frågan om det bör införas sammanhållna patientjournaler behandlas i avsnitt 9. I avsnitt 10 redogörs för våra överväganden i fråga en ny reglering av patientjournalföringen. Våra förslag om öppnade möjligheter till sammanhållen journalföring redovisas i avsnitt 11. (En lathund över hur patientuppgifter får göras tillgängliga vid sammanhållen journalföring finns i bilaga 5). I avsnitt 12 och 13 behandlar vi frågor om inre sekretess och om vårdgivare skall kunna medge sina patienter direktåtkomst till deras vårddokumentation. Avsnitt 14–17 behandlar frågor om överföring av personuppgifter i individinriktad verksamhet, om möjligheter till personuppgiftsbehandling för verksamhetsuppföljning, om kvalitetsregister och om patientuppgifter och forskning inom hälso- och sjukvården. I avsnitt 18 tas allmänna frågor och bestämmelser upp. Avsnitt 19 behandlar ikraftträdande- och övergångsbestämmelser. I avsnitt 20 beskrivs konsekvenserna av våra förslag. Avsnitt 21 innehåller en författningskommentar.

2. Hälso- och sjukvård och IT

2.1. Hälso- och sjukvårdens organisation

2.1.1. Ansvaret för hälso- och sjukvården

Hälso- och sjukvården är en central del av välfärden. De grundläggande principerna för den svenska hälso- och sjukvården är att den skall ges på lika villkor och efter behov, styras demokratiskt och vara solidariskt finansierad. I det svenska sjukvårdssystemet är ansvaret för hälso- och sjukvården delat mellan staten, som fastslår målen för hälso- och sjukvården, respektive landstingen och kommunerna, som har verksamhets- och finansieringsansvaret. Det demokratiska inflytandet över hälso- och sjukvården utövas till stor del av kommunala politiska församlingar med beskattningsrätt och självständighet i förhållande till riksdag, regering och statliga myndigheter.

Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken. Under regeringen lyder myndigheter med uppgifter inom hälso- och sjukvården. Den största myndigheten är Socialstyrelsen, som bl.a. svarar för utvecklingsaktiviteter kring vården, utfärdar riktlinjer och föreskrifter samt ansvarar för tillsynen av hälso- och sjukvården och hälso- och sjukvårdspersonalen. Hälso- och sjukvårdens ansvarsnämnd (HSAN) utreder anmälningar mot hälso- och sjukvårdspersonal i samband med vård, undersökning och behandling av patienter. Statens Beredning för Medicinsk Utvärdering (SBU) granskar den vetenskapliga grunden för den medicinska vården. Läkemedelsverket svarar bl.a. för godkännande av läkemedel. Läkeförmånsnämnden beslutar om vilka läkemedel som skall ingå i läkemedelsförmånerna och sätter pris på dessa. Smittskyddsinstitutet bevakar det epidemiologiska läget i landet. Staten ansvarar också för och bedriver hälso- och sjukvård i viss begränsad omfattning med anknytning till annan myndighetsverksamhet, t.ex. inom kriminalvården och försvaret.

Landstingens och kommunernas ansvar för hälso- och sjukvården regleras i hälso- och sjukvårdslagen (1982:763) och tandvårdslagen (1985:125).

I hälso- och sjukvårdslagen finns också grundläggande bestämmelser om mål och krav på hälso- och sjukvården. Dessa bestämmelser gäller all hälso- och sjukvård, dvs. inte bara sådan som bedrivs av landsting och kommuner. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen bl.a. en god hälsa. Vården skall ges med respekt för alla människors lika värde och för den enskilda människans värdighet. Hälso- och sjukvården skall enligt 2 a § hälso- och sjukvårdslagen bedrivas så att den uppfyller kraven på en god vård. Detta innebär bl.a. att vården skall vara av god kvalitet, vara trygg och säker för patienten, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet samt främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen. Vården och behandlingen skall så långt det är möjligt utformas och genomföras i samråd med patienten. Från och med den 1 januari 2007 gäller vidare att vården skall tillgodose patientens behov av kontinuitet och säkerhet i vården och att olika insatser för patienten skall samordnas på ett ändamålsenligt sätt.

När det mer specifikt gäller landstingens ansvar för hälso- och sjukvård framgår av 3 § hälso- och sjukvårdslagen att varje landstings huvuduppgift är att erbjuda en god hälso- och sjukvård åt befolkningen inom landstinget.

Det finns även ett särskilt planerings- och samverkansansvar för landstinget (se 7 och 8 §§hälso- och sjukvårdslagen). Landstinget skall planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen skall avse även den hälso- och sjukvård som erbjuds av privata och andra vårdgivare. I planeringen och utvecklingen av hälso- och sjukvården skall landstinget samverka med samhällsorgan, organisationer och privata vårdgivare.

Det kommunala ansvaret för hälso- och sjukvård är begränsat till vissa särskilda grupper, i huvudsak äldre personer och vissa grupper med fysiska eller psykiska funktionshinder. Kommunerna skall således erbjuda en god hälso- och sjukvård åt dem som bor i vissa särskilda boendeformer (se 5 kap. 5 § andra stycket, 5 kap. 7 § tredje stycket och 7 kap. 1 § första stycket 2 socialtjänstlagen [2001:453]) Varje kommun skall även erbjuda en god hälso- och sjukvård åt dem som vistas i sådan dagverksamhet som kommunerna har ansvar för enligt 3 kap. 6 § socialtjänstlagen.

När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret i dag på landstinget även om kommunerna i 18 § andra stycket hälso- och sjukvårdslagen har getts befogenhet att erbjuda dem som vistas i kommunen hemsjukvård. En skiljelinje mellan landstingens och kommunernas ansvarsområde är att kommunernas ansvar och befogenheter enligt 18 § hälso- och sjukvårdslagen inte omfattar sådan hälso- och sjukvård som meddelas av läkare.

Kommunen har på samma sätt som landstinget ett särskilt planerings- och samverkansansvar för sin hälso- och sjukvård (20 och 21 §§hälso- och sjukvårdslagen).

Enligt 5 § tandvårdslagen skall varje landsting erbjuda en god tandvård åt bl.a. dem som är bosatta inom landstinget.

Det finns även i tandvårdslagen ett särskilt planerings- och samverkansansvar för landstinget (se 8 och 9 §§). Landstinget skall planera tandvården med utgångspunkt i befolkningens behov av tandvård. Landstinget skall se till att det finns tillräckliga resurser för patienter med särskilda behov av tandvårdsinsatser och att patientgrupper med behov av särskilt stöd erbjuds tandvård. Planeringen skall avse även den tandvård som erbjuds av annan än landstinget. I planeringen och utvecklingen av tandvården skall landstinget samverka med samhällsorgan, organisationer och enskilda.

Ansvarskommittén är en parlamentarisk kommitté som skall undersöka den nuvarande samhällsorganisationens förutsättningar att klara de offentliga välfärdsåtagandena (dir. 2003:10). En utgångspunkt för kommittén är att en långtgående kommunal självstyrelse inom ramen för ett starkt nationellt ansvar för likvärdig välfärd i hela landet skall bibehållas. Kommitténs arbete omfattar en rad huvudfrågor såsom bl.a. omfattningen av det samlade kommunala uppdraget - vilka uppgifter den kommunala nivån skall ansvara för samt struktur- och uppgiftsfördelningen mellan staten, landstingen och kommunerna när det gäller hälso- och sjukvård.

Kommittén skall redovisa resultaten av sitt arbete senast den 28 februari 2007

2.1.2. Driftsformer

Landstingets skyldighet att erbjuda en god hälso- och sjukvård enligt 3 § hälso- och sjukvårdslagen innebär inte att landstinget självt måste bedriva verksamheten (prop. 1981/82:97 s. 33). Detsamma gäller

kommuns skyldighet att erbjuda en god hälso- och sjukvård enligt 18 § samma lag.

Ett landsting har i 3 § tredje stycket hälso- och sjukvårdslagen uttryckligen medgetts rätt att sluta avtal med någon annan om att utföra de uppgifter som landstinget ansvarar för enligt hälso- och sjukvårdslagen. Motsvarande bestämmelse i fråga om tandvård finns i 5 § tredje stycket tandvårdslagen. I 18 § femte stycket hälso- och sjukvårdslagen har en kommun getts samma rätt att sluta avtal i fråga om de uppgifter som kommunen ansvarar för enligt hälso- och sjukvårdslagen. Sådana uppgifter som innefattar myndighetsutövning får dock inte med stöd av nämnda bestämmelser överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ.

Den 1 januari 2006 trädde nya bestämmelser i hälso- och sjukvårdslagen i kraft. Dessa innebär att uppgiften att bedriva hälso- och sjukvård som ges vid ett regionsjukhus eller en regionklinik inte får överlämnas till någon annan. Vidare föreskrivs att varje landsting skall driva minst ett sjukhus i det egna landstinget i egen regi. Överlämnar landstinget driften av hälso- och sjukvård vid övriga sjukhus till någon annan, skall avtalet innehålla villkor om att verksamheten skall drivas utan syfte att ge vinst åt ägare eller motsvarande intressent, och att vården skall bedrivas uteslutande med offentlig finansiering och vårdavgifter. Lagändringarna gäller inte sådan hälso- och sjukvårdsverksamhet där avtal om drift har träffats före ikraftträdandet.

Större delen av den svenska hälso- och sjukvården bedrivs av kommuner och landsting i egen regi, dvs. i förvaltningsform. Det har emellertid blivit mer vanligt förekommande att vårdverksamhet överlämnas att utföras av privata vårdgivare såsom privatägda aktiebolag och stiftelser. Vidare har viss verksamhet överlämnats att utföras av kommun- eller landstingsägda aktiebolag. Verksamhet utförs även av enskilda privatpraktiserande läkare och sjukgymnaster som har samverkansavtal med ett landsting och som får ersättning enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för sjukgymnastik.

Även om ett landsting låter privata entreprenörer utföra vården, svarar landstinget fortfarande i egenskap av huvudman för den utlagda verksamhetens innehåll och har kvar sitt vårdansvar enligt hälso- och sjukvårdslagen (se prop. 2004/05:145 s. 10).

Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget och utan inslag av offentlig finansiering. I dessa fall ansvarar inte landstinget eller kommunen i

egenskap av huvudman för verksamheten. Socialstyrelsen utövar dock tillsyn även över den helt privatfinansierade hälso- och sjukvården.

2.1.3. Ledningen av hälso- och sjukvården

Ansvariga nämnder

I 10 § hälso- och sjukvårdslagen och 11 § tandvårdslagen sägs att ledningen av landstingens hälso- och sjukvård och av folktandvården skall utövas av en eller flera nämnder. För en sådan nämnd gäller vad som är föreskrivet om nämnder i kommunallagen (1991:900). I flertalet av landstingen utövas ledningen av hälso- och sjukvården av landstingsstyrelsen eller av hälso- och sjukvårdsnämnder. I Stockholms läns landsting har i stället inrättats en beställarorganisation med ett hälso- och sjukvårdsutskott (beställare) och ett ägarutskott (producent).

Ledningen av kommunens hälso- och sjukvård utövas enligt 22 § hälso- och sjukvårdslagen av den eller de nämnder som kommunfullmäktige enligt 2 kap. 4 § socialtjänstlagen bestämmer. I en kommun som inte ingår i ett landsting utövas ledningen av den hälso- och sjukvård som avses i 18 § första eller andra stycket hälso- och sjukvårdslagen i enlighet med 10 § nämnda lag.

När det gäller frågan vilka organisatoriska enheter inom hälso- och sjukvården som utgör myndigheter anses varje nämnd med tillhörande förvaltningsorgan utgöra en egen myndighet.

Den 1 juli 2003 trädde lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet i kraft. Lagen ger ett landsting och en eller flera kommuner som ingår i landstinget rätt att genom samverkan i en gemensam nämnd gemensamt fullgöra landstingets uppgifter enligt bl.a. hälso- och sjukvårdslagen och tandvårdslagen och kommunens uppgifter enligt bl.a. hälso- och sjukvårdslagen.

Privata vårdgivare

När det gäller den enskilda hälso- och sjukvården ger den associationsrättsliga lagstiftningen besked om vem som bär ansvaret för hur verksamheten organiseras. Om vårdverksamheten bedrivs i exempelvis aktiebolagsform ansvarar bolagets styrelse (se prop. 1995/96:176 s. 57).

Verksamhetschef

Enligt 29 § första stycket hälso- och sjukvårdslagen skall det inom hälso- och sjukvård finnas någon som svarar för verksamheten (verksamhetschef). Detta gäller oavsett om verksamheten är allmän eller enskild. Verksamhetschefen behöver inte tillhöra hälso- och sjukvårdspersonalen utan kan tillhöra annan yrkeskategori (prop. 1995/96:176 s. 104). Verksamhetschefen får dock bestämma över diagnostik eller vård och behandling av enskilda patienter endast om han eller hon har tillräcklig kompetens och erfarenhet för detta.

Medicinskt ansvarig sjuksköterska

Av 24 § hälso- och sjukvårdslagen följer att det inom det verksamhetsområde som kommunen bestämmer över skall finnas en medicinskt ansvarig sjuksköterska. Denna sjuksköterska skall svara för att det finns sådana rutiner att kontakt tas med läkare eller annan hälso- och sjukvårdspersonal när en patients tillstånd fordrar det samt att beslut om att delegera ansvar för vårduppgifter är förenliga med säkerheten för patienterna. Sjuksköterskan skall vidare svara för att anmälan görs till den nämnd som har ledningen av hälso- och sjukvårdsverksamheten, om en patient i samband med vård eller behandling drabbats av eller utsatts för risk att drabbas av allvarlig skada eller sjukdom.

Den medicinskt ansvariga sjuksköterskan är underställd verksamhetschefen i de fall de båda uppdragen inte är förenade (prop. 1995/96:176 s. 104).

2.1.4. Hälso- och sjukvård på tre nivåer

Hälso- och sjukvården inom landstingens ansvarsområde kan delas in i tre nivåer: 1) primärvård, 2) länssjukvård och 3) region- och rikssjukvård.

Primärvård

Primärvården utgör basen för det svenska sjukvårdssystemet. Primärvård bedrivs vid drygt tusen vårdcentraler, distriktssköterskemottagningar, familjeläkarenheter och privata läkarmottagningar med vilka landstingen har entreprenadavtal.

Primärvården skall kunna tillgodose de flesta patienters behov, och svarar för insatser där sjukhusens resurser inte krävs. Många patienter med kroniska åkommor går på regelbundna kontroller i primärvården. I de fall diagnostik och behandling behöver ske med ytterligare resursinsatser remitteras patienten till specialister inom länssjukvården.

Länssjukvård

När diagnostik eller behandling kräver resurser utöver primärvårdsnivån, remitteras patienter från primärvård till en specialistläkarmottagning utanför eller vid sjukhus. Många patienter söker sig direkt till sjukhusens mottagningar eller har fortlöpande kontakter med någon specialistläkarmottagning. Sjukhusen inom länssjukvården indelas traditionellt i länsdels- och länssjukhus. Det finns över tjugo länssjukhus och ett fyrtiotal länsdelssjukhus i Sverige.

Region- och rikssjukvård

Enligt 9 § hälso- och sjukvårdslagen får regeringen föreskriva att landet skall delas in i regioner för den hälso- och sjukvård som berör flera landsting. Landstingen skall samverka i frågor som rör sådan hälso- och sjukvård. Enligt förordningen (1982:777) om rikets indelning i regioner för hälso- och sjukvård som berör flera landstingskommuner skall riket vara indelat i sex regioner. I varje sjukvårdsregion har inrättats en samverkansnämnd, vars uppgift bl.a. är att inom regionen samordna den högspecialiserade vården. En samverkansnämnd torde ha enbart en rådgivande funktion.

Det finns nio regionsjukhus i Sverige. Där behandlas sällsynta och komplicerade sjukdomar och skador efter remiss från länssjukvården. Landsting och regioner som inte har ett eget regionsjukhus har avtal med ett annat landsting eller annan region som kan ta emot patienter till den högspecialiserade vården.

Regionsjukhusens sjukhusverksamhet omfattar förutom regionsjukvården även länsdelssjukvård till närboende och länssjukvård för det egna landstinget.

Den 1 januari 2007 träder bestämmelser om rikssjukvård i kraft (9 a och b §§ hälso- och sjukvårdslagen). Med rikssjukvård avses hälso- och sjukvård som bedrivs av ett landsting och som samordnas med landet som upptagningsområde. Socialstyrelsen beslutar vilken hälso- och sjukvård som skall utgöra rikssjukvård. Rikssjukvården skall samordnas till enheter där en hög vårdkvalitet och en ekonomiskt effektiv verksamhet kan säkerställas. För att bedriva rikssjukvård krävs tillstånd av Socialstyrelsen.

2.2. En hälso- och sjukvård i förändring

Svensk hälso- och sjukvård genomgick under 1990-talet stora förändringar. Bland annat genomfördes tre omfattande huvudmannaskapsreformer, Ädelreformen (år 1992), Handikappreformen (år 1994) och Psykiatrireformen (år 1995). Vid Ädelreformen, som närmare beskrivs i avsnitt 14.2.2, infördes de skyldigheter för kommunerna att tillhandahålla hälso- och sjukvård åt äldre och funktionshindrade som regleras i hälso- och sjukvårdslagen, se ovan i avsnitt 2.1.1.

Handikappreformen innebar framför allt att en ny lag, lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS), trädde i kraft. LSS innehåller bestämmelser om särskilt stöd och särskild service till personer med funktionshinder som ger upphov till betydande svårigheter i det dagliga livet. LSS skall komplettera de rättigheter som den enskilde kan ha enligt annan lagstiftning. Genom ändringar i hälso- och sjukvårdslagen förtydligades vidare sjukvårdshuvudmännens ansvar för habilitering, rehabilitering, hjälpmedel samt för landstingens del även tolktjänst. Kommunerna blev genom ett tillägg i då gällande socialtjänstlagen skyldiga att bedriva uppsökande verksamhet bland äldre och funktionshindrade och planera sina insatser i samverkan med landstinget och andra berörda.

Syftet med Psykiatrireformen var att förbättra livsvillkoren för personer med psykiska funktionshinder. Genom en ändring i den då gällande socialtjänstlagen förtydligades att kommuners ansvar för uppsökande verksamhet, planering och samverkan även avsåg personer med psykiska funktionshinder. Vidare fick kommunerna genom en ändring i lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård betalningsansvaret för medicinskt färdig-

behandlade patienter som vårdats sammanhängande i mer än tre månader inom psykiatrisk heldygnsvård och som av en specialist i psykiatri bedömts vara färdigbehandlad inom sådan vård. Psykiatrireformens målgrupp utgjordes främst av personer som har långvariga och allvarliga psykiska besvär och som har svårt att klara det dagliga livet och därför har behov av vård och omsorg.

En annan förändring under 1990-talet var införandet av den fria kommunala nämndorganisationen genom vilken det blev möjligt att organisera landstingens och kommunernas verksamheter tämligen fritt. Exempelvis kan hälso- och sjukvård delas upp mellan flera olika nämnder. Sedan några år har sjukvårdshuvudmännen, dvs. landstingen och kommunerna, också möjlighet att samverka kring uppgifter enligt hälso- och sjukvårdslagen i gemensamma nämnder, se lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i kommunalförbund, se 3 kap. 20 § kommunallagen (1991:900).

Under 1990-talet stärktes patientens ställning i hälso- och sjukvården genom olika reformer. I hälso- och sjukvårdslagen och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område infördes bestämmelser som preciserar vårdgivarnas respektive hälso- och sjukvårdspersonalens skyldigheter att ge patienten en individuellt anpassad information om sitt hälsotillstånd och om de olika metoder för undersökning, vård och behandling som finns. Vidare blev vårdgivarna respektive hälso- och sjukvårdspersonalen skyldiga att ta hänsyn till patientens val av behandling där två eller flera alternativ är möjliga och att i vissa situationer medverka till att patienten får möjlighet att diskutera sin sjukdom och behandling med ytterligare en läkare (s.k. second opinion). Andra reformer avsåg vårdgarantin och möjligheten att välja vårdgivare.

Hälso- och sjukvården har under senare år genomgått stora strukturförändringar och antalet driftsformer inom sjukvården är i dag fler än för bara några år sedan. I dag är det vidare allt mer vanligt att patienter vårdas och behandlas av olika vårdgivare, inte sällan i en vårdkedja. Ett stort antal privata vårdgivare ingår numera regelmässigt i vårdkedjan. Det blir alltså allt vanligare att patienter har kontakt med flera olika vård- och omsorgsgivare samtidigt eller flyttas mellan dem. Det sagda innebär att det antal yrkesutövare som direkt involveras i vården av en enskild patient ökar. Det allt friare vårdvalet innebär dessutom en möjlighet att geografisk vårdgivartillhörighet oftare kan komma att ersättas av individuellt vald tillhörighet utanför det geografiska närområdet. Den fria rörligheten av personer inom EU innebär dessutom möjligheter till gränsöverskridande vård.

Vidare sker i dag en förskjutning av vård från traditionell sjukhusmiljö till hemmiljö, både i ordinärt och särskilt boende. Internet innebär en viktig förutsättning för utveckling av möjligheterna att ge allt mer vård i hemmiljö och för att kunna använda specialistkompetens inom hälso- och sjukvården på ett sätt så att förutsättningarna för att erhålla en lika god vård oavsett bosättningsort förbättras. De senaste årens utveckling mot kortare vårdtider och allt större rörlighet för både patienter och personal kommer av allt att döma att fortsätta framöver. Samtidigt har patienternas inflytande och kännedom om rätten till information m.m. ökat. Den ökade Internet-användningen innebär även att enskilda i allt större utsträckning kommer att på egen hand söka efter kvalitetssäkrad information om t.ex. sjukdomar, läkemedel och egenvård och efterfråga möjligheter att kontakta vården via Internet för att t.ex. boka tider, förnya recept eller få rådgivning. Sammantaget innebär dessa faktorer att de krav som samhället, patienterna och omvärlden ställer på patientdokumentation och annan informationshantering inom hälso- och sjukvården har ökat.

Svensk hälso- och sjukvård står nu inför en rad stora kvalitativa, strukturella och finansiella utmaningar. Den demografiska utvecklingen framöver medför att andelen äldre personer i befolkningen ökar i förhållande till andelen personer i förvärvsaktiv ålder. Den medicinska och medicintekniska utvecklingen innebär samtidigt nya möjligheter till vård och behandling. Möjligheter som i största möjliga utsträckning måste tas tillvara för att medborgarnas framtida behov av vård skall kunna tillgodoses. En utvecklad och samordnad användning av IT-stöd är också en viktig förutsättning för att höja vårdens kvalitet och att ytterligare förbättra patientsäkerheten och därmed bidra till en effektivisering av sjukvården. Genom IT-stöd kan även en effektivare resursanvändning komma till stånd genom en utvecklad analys- och uppföljningsverksamhet. Både EU och WHO har pekat ut e-hälsa som ett av de mest centrala verktygen för att vård- och omsorgssektorn skall kunna möta framtida utmaningar. E-hälsa är det internationella samlingsnamnet för användningen av informations- och kommunikationsteknik inom hälso- och sjukvården. Dessa faktorer är viktiga att beakta när det gäller såväl strukturella frågor som den organisatoriska utformningen av både ledningen och styrningen av hälso- och sjukvården och den direkt vårdande delen av verksamheten som mer individinriktade frågor som vårdens utformning i ett patientperspektiv, hantering av vårddokumentation etc.

Som nämnts tidigare har Ansvarskommittén i uppdrag att bl.a. analysera och vid behov föreslå förändringar av hälso- och sjukvårdens struktur och nuvarande uppgiftsfördelning mellan staten, landstingen och kommunerna. Resultatet av kommitténs arbete, vilket skall redovisas senast den 28 februari 2007, kan komma att påverka hur vård- och omsorgssektorn skall organiseras och finansieras i framtiden.

2.3. IT-användning i hälso- och sjukvården

Det finns ingen officiell statistik eller sammanställning av IT-användningen inom den allmänna eller enskilda hälso- och sjukvården.

Landstingens IT-chefer gör dock via sin intresseförening SLIT (Sveriges Landstings IT-chefer) sedan flera år en egen inventering avseende system, utveckling och kostnader för IT-stöd. Rapporten ITstöd inom landstingen i Sverige, som publicerades i juni 2006, innehåller en sammanfattning av resultaten från 2006 års systeminventering med fokus på IT-stöd i det direkta vårdarbetet. Av rapporten framgår att införandet av IT-stöd för vårddokumentation är i princip fullständigt genomfört inom primärvården. Sjukhus och psykiatri har datorstödd vårddokumentation till 69 respektive 75 procent. IT-stöd för tandvårdsjournal är i det närmaste helt införd i alla landsting.

I nämnda rapport anges vidare att de flesta landsting har eller kommer att ha samma IT-stöd för vårddokumentation för sjukhus, psykiatri och primärvård och att de flesta landsting också väljer att skapa en gemensam databas med åtkomst enligt konceptet ”en patient – en journal ” inom landstinget.

I fråga om IT-stöd för patientadministration – varmed avses ITstöd för kassa, tidbok, ekonomihantering m.m. – anges i rapporten att samtliga landsting har sådant IT-stöd sedan många år. Vidare anges att patientadministrationen i dag till stor del integreras i de journalsystem som införts i många landsting.

Enligt nämnda rapport har ungefär hälften av alla landsting helt elektronisk remiss- och svarshantering för röntgen och klinisk kemi. Det är dock inte i dag möjligt att skicka remisser mellan sjukvårdshuvudmännen på grund av avsaknad av en gemensam standard.

Landstingen erbjuder olika e-tjänster som service till patienter. Enligt rapporten är de mest förekommande receptförnyelse och bokning/avbokning av besök.

Även om Sverige ligger långt fram när det gäller användning av IT inom hälso- och sjukvården finns flera problem som har betydelse för informationsöverföringen. De befintliga systemen har utvecklats utifrån de enskilda verksamheternas behov. De är inte kompatibla, vilket leder till merarbete för hälso- och sjukvårdspersonalen och begränsningar i fråga om effektivitet och patientsäkerhet. Begrepp och termer inom hälso- och sjukvården används på olika sätt och det finns ingen gemensam informationsstruktur.

Som vi återkommer till i avsnitt 3.2 har den nationella ledningsgruppen för IT i vård och omsorg utarbetat en nationell IT-strategi för vård och omsorg. Regeringen har i en skrivelse till riksdagen (skr. 2005/06:139) redogjort för denna strategi. Utgångspunkterna för insatserna som slås fast i strategin är att IT är ett av de viktigaste verktygen för att förnya och utveckla vård- och omsorgsverksamheterna. Patientsäkerhet, vårdkvalitet och tillgänglighet kan enligt strategin kraftigt förbättras genom användning av olika former av IT-stöd. För att dessa nyttoeffekter skall kunna uppnås krävs en fördjupad nationell samverkan. Utarbetandet av den nationella ITstrategin sägs utgöra första etappen i ett långsiktigt arbete för att få till stånd en fördjupad nationell samverkan kring dessa frågor.

3. Den nationella IT-strategin och några utvecklingsprojekt

3.1. Inledning

Arbetet i den nationella ledningsgruppen för IT i vård och omsorg har utmynnat i en nationell IT-strategi för vård och omsorg som kan ligga till grund för det fortsatta utvecklingsarbetet på olika nivåer. I detta kapitel ges inledningsvis en översiktlig redovisning av denna strategi. Därefter redovisas ett antal utvecklingsprojekt kring elektroniskt utbyte av patientinformation och kring patienters möjlighet att via Internet ta del av uppgifter som sig själva. I avsnitt 3.3 beskriver vi några sådana landstingsdrivna projekt. I avsnitt 3.4 redovisar vi några nationella initiativ och projekt på området. Urvalet av redovisade projekt har givetvis gjorts utifrån det fokus som följer av de olika frågeställningar som Patientdatautredningen har att beakta i arbetet.

3.2. Nationell IT-strategi för vård och omsorg

IT-politiska strategigruppen

Sommaren 2003 beslutade regeringen att tillsätta en IT-politisk strategigrupp med uppdrag att främja informationssamhällets fortsatta utveckling i Sverige. Arbetet leds av Näringsdepartementet.

Strategigruppen tillsatte i sin tur en särskild arbetsgrupp – Arbetsgruppen för IT inom vård och omsorg – med uppdrag att ta fram en nationell strategi för IT inom vård och omsorg. Arbetsgruppen bestod av företrädare för departement och centrala aktörer inom vård- och omsorgsområdet. Vid årsskiftet 2004/05 lämnade arbetsgruppen en rapport till IT-politiska strategigruppen för vidare hantering internt inom Regeringskansliet.

Gruppen har fortsatt som en referensgrupp i Socialdepartementets regi. Alltsedan dess är den inte längre en undergrupp till IT-politiska

strategigruppen utan fungerar som referensgrupp till ledningsgruppen för IT i vård och omsorg (se vidare nedan).

Nationella ledningsgruppen för IT i vård och omsorg

Regeringen och Sveriges Kommuner och Landsting tog i Dagmaröverenskommelsen för år 2005 ett gemensamt initiativ till fördjupad nationell samverkan kring IT-utvecklingen inom vård- och omsorg.

Socialdepartementet tillsatte i mars 2005 den nationella ledningsgruppen för IT i vård och omsorg. I gruppen ingår representanter för Socialdepartementet, Sveriges Kommuner och Landsting, Socialstyrelsen, Läkemedelsverket, Apoteket AB och Carelink.

Vidare skapades en referensgrupp av experter och branschföreträdare för att fungera som ett rådgivande beredningsorgan till ledningsgruppen. Referensgruppen består av representanter från andra berörda departement, utredningar (bl.a. Patientdatautredningen) och statliga myndigheter, av representanter från forskarvärlden, företrädare för privata vårdgivare, läkemedelsindustrin och vårdens ITleverantörer samt företrädare för vårdpersonalens nationella organisationer.

Ledningsgruppens arbete har utmynnat i en nationell IT-strategi för vård och omsorg som presenterades i mars 2006 (skr. 2005/06:139). Strategin är i första hand inriktad på insatser inom hälso- och sjukvården och den del av omsorgsverksamheterna som angränsar till hälso- och sjukvårdens verksamhet. Strategin ska fungera som ett stöd för det lokala och regionala arbetet och lägga grunden till en fördjupad samverkan på nationell nivå. Avsikten är att strategin skall godkännas och tillämpas av staten, landstingen, kommunerna samt övriga vårdgivare och intressenter inom vård- och omsorgssektorn. Den nationella ledningsgruppen har fått förlängt mandat för att under år 2006 säkerställa en bred förankring samt föra en strategisk diskussion kring de beslut som behöver fattas på olika nivåer för att målen i IT-strategin skall kunna realiseras.

I IT-strategin har följande vision formulerats:

Med hjälp av ändamålsenliga IT-stöd får alla patienter god och säker vård och bra service. Vårdpersonalen kan ägna mer tid åt patienterna och anpassa vården till varje patients behov. IT används som ett strategiskt verktyg i alla delar av vården och de samlade vårdresurserna utnyttjas på ett mer effektivt sätt:

  • Medborgare, patienter och anhöriga har enkel tillgång till allsidig information om vård och hälsa samt om sin egen hälsosituation. De erbjuds bra service och är delaktiga i vården utifrån individuella förutsättningar.
  • Personal inom vård och omsorg har tillgång till välfungerande och samverkande IT-stöd som garanterar patientsäkerheten och underlättar deras dagliga arbete.
  • Ansvariga för vård och omsorg har ändamåls enliga IT-stöd för att följa upp patientsäkerheten och vårdens kvalitet samt för verksamhetsstyrning och resursfördelning.

Vidare har det i IT-strategin fastställts fem grundläggande och strategiska frågor för vårdens fortsatta utveckling, effektivisering och förnyelse som sektorns aktörer behöver ta ställning till. Ställningstagandena i dessa fem frågor får enligt IT-strategin direkta konsekvenser för den fortsatta IT-användningen i vården:

1. Förstärka medborgarnas och patienternas ställning och inflytande Medborgarnas och patienternas ställning och inflytande i vården har förstärkts, vilket avspeglas både i allmänna värderingar och i lagstiftningen. I detta ingår att patienter och deras närstående nu har bättre tillgång till information om vården. De praktiska förutsättningarna för att kontakta och påverka vården har också förbättrats, och har därigenom ökat delaktigheten i vården. Denna förstärkning av patienternas inflytande skall fortsätta och kommer att få direkta konsekvenser för utformningen av IT-stöden i vården och för patienternas och deras närståendes tillgång på information av olika slag.

2. Ge vård utan hinder av verksamhetsmässiga och administrativa gränser samt geografi ska avstånd Det finns en rad faktorer som gör det allt viktigare att vården fungerar utan hinder av verksamhetsmässiga och administrativa gränser och geografi ska avstånd. De största vårdbehoven har starkt lokal karaktär, främst vården av äldre och psykiskt sjuka. Ansvaret för dessa verksamheter delas av landstingen och kommunerna och förutsätter ett nära samarbete. Rörligheten i befolkningen ökar i samband med studier, byte av arbete, bostadsort eller olika sommar- och vinterboende. Detta gör det angeläget att vården kan fungera

utan avbrott även när människor flyttar eller bor på flera ställen. Andra skäl för att vården måste kunna fungera över gränser av olika slag är att många typer av vård måste koncentreras till ett begränsat antal vårdenheter, i extremfallet till en plats i landet. Vidare har patienternas rätt och möjligheter att välja vård på annan ort sedan länge varit jämförelsevis stora och har ytterligare förbättrats sedan det fria vårdvalet infördes år 2003. Den nyligen införda vårdgarantin kan komma att öka rörligheten inom vården än mer.

3. Ge vårdpersonalen effektiva kvalitets- och kompetenshöjande arbetsredskap

IT i den svenska vården utnyttjas ojämnt, och används totalt sett jämförelsevis lite. Det finns därför behov av en utbyggd och mer jämn tillgång till effektiva IT-stöd. De IT-stöd som finns skall vara användarvänliga och förenkla de vardagliga rutinerna för vårdpersonalen. Helst skall alla IT-stöd kunna hanteras med samma användargränssnitt och ha gemensamma funktioner för inloggning, säkerhet och kommunikation. På detta område finns behov av förbättringar och samarbete i vården. Det finns stora möjligheter att förbättra tillgängligheten och servicen i vården med hjälp av IT. Det finns vidare stora möjligheter att med hjälp av olika kunskapsbaserade expert- och beslutsstödssystem förstärka personalens kompetens och därmed vårdens kvalitet. Bland annat kan risken för felaktig eller olämplig behandlig, exempelvis felaktig läkemedelsordination, därigenom minskas. Denna utveckling har just börjat. Nationellt samarbete krävs för att den bästa expertisen skall kunna anlitas.

4. Sträva efter god resurshushållning och ekonomisk effektivitet i verksamheten

IT används sedan länge för planering, styrning och uppföljning av vårdens verksamhet. Det är självfallet viktigt att IT-stöden för dessa uppgifter fortlöpande utvecklas och förbättras. Det är vidare angeläget att med hjälp av IT förkorta väntetider och samordna vården för patienterna samt minska det administrativa arbetet för personalen. IT erbjuder också en rad möjligheter till förbättrad resurshushållning i ett strategiskt perspektiv. En är att köpa kvalificerade tjänster via elektronisk kommunikation, t.ex. för diagnostik inom radiologi och laboratoriemedicin. En annan möjlighet är att kvalificerad personal kan utnyttjas mer effektivt genom att profes-

sionella nätverk skapas. Det är i dag tekniskt möjligt att exempelvis samordna jourtjänstgöringen för personal inom en rad specialiteter inom landstinget, i sjukvårdsregionerna och på nationell nivå. Möjligheterna att på dessa sätt effektivisera användningen av kvalificerade och ofta knappa resurser växer snabbt. De förutsätter i många fall samarbete mellan flera huvudmän eller samarbete på nationell och internationell nivå.

5. Skapa goda förutsättningar för IT i vården

Användningen och utbyggnaden av IT i vården försvåras av en rad generella problem och brister i förutsättningarna för att använda IT på ett effektivt sätt. Dessa problem och brister kan i regel hänföras till tre områden: behov av lagändringar, krav på att informationen (termer och begrepp) ska vara entydigt definierad samt behov av bättre teknisk infrastruktur för IT. För att mer generellt skapa goda förutsättningar för IT i vården behöver vi därför:

  • harmonisera lagar och andra regler med en ökad IT-användning med bevarat integritetsskydd
  • skapa en nationell informationsstruktur för vården
  • vidareutveckla den nationella tekniska infrastrukturen i vården för att skapa en säker elektronisk kommunikation, både mellan olika vårdenheter och vid användning av avancerade medicintekniska produkter.

För att förverkliga de intentioner som redovisats ovan krävs gemensamma och koordinerade insatser mellan hälso- och sjukvårdens samtliga aktörer. Det arbete som enligt strategin behöver uträttas är uppdelat på sex insatsområden: 1) harmonisera lagar och regelverk med en ökad IT-användning, 2) skapa en gemensam informationsstruktur, 3) skapa en gemensam teknisk infrastruktur, 4) skapa förutsättningar för samverkande och verksamhetsstödjande ITsystem, 5) möjliggöra åtkomst till information över organisationsgränser, och 6) göra information och tjänster lättillgängliga för medborgarna.

3.3. Landstingsdrivna projekt

3.3.1. Stockholms läns landsting

I Stockholms läns landsting bedrivs projektet Gemensam vårddokumentation.

Genom projektet skapas ett vårdinformationsarkiv. Tanken är att patientinformation från länets offentliga och privata vårdgivare inom den landstingsfinansierade vården skall lagras i en gemensam vårddatabas (GVD).

För att behörig vårdpersonal skall få ta del av information om en patient krävs att det finns en vårdrelation med patienten. För tillgång till en annan vårdgivares patientinformation krävs dessutom att patienten har lämnat sitt samtycke till utlämnandet eller att en sekretessprövning har gjorts som utmynnat i att informationen kan lämnas ut.

En behörighetsadministrativ tjänst (BAT) hanterar bl.a. autenticering av användare, administration av rättigheter och åtkomstkontroll.

3.3.2. Landstinget i Uppsala län

Landstinget i Uppsala län drev projektet Sustains

TPTF

1

FTPT

hälso- och sjuk-

vårdskonto under åren 1997–2001. I den första delen av projektet gavs 100 patienter på Akademiska sjukhuset i Uppsala tillgång till sina uppgifter ur sjukhusets vårdadministrativa system under tre månader. I den andra delen fick 100 patienter på tre vårdcentraler i Uppland och Dalarna tillgång till uppgifter ur sina primärvårdsjournaler.

Utifrån de erfarenheter som projektet hade gett och patienternas önskemål utvecklades ett nytt hälso- och sjukvårdskonto. I september 2002 fick samtliga patienter (2 300) på en husläkarmottagning i Uppsala erbjudande om att öppna hälso- och sjukvårdskonto. Kontot sattes i drift den 1 januari 2003 för de patienter som hade anmält sig (ca 15 procent av de tillfrågade).

När patienten ansöker om ett hälso- och sjukvårdskonto gör läkaren en sekretessprövning av om patienten kan få del av de uppgifter som finns lagrade i kontot. Läkaren gör även en sådan sekretessprövning i samband med att journalföring sker. Journalanteckningar

1

Sustains står för Support for Users to Access Information and Services.

blir inte tillgängliga för patienten förrän de har signerats. Om uppgifterna är känsliga, tar läkaren kontakt med patienten och förklarar betydelsen innan signering sker. Uppgifter som omfattas av sekretess gentemot patienten görs inte tillgängliga.

Hälso- och sjukvårdskontot innehåller en förteckning över möten med mottagningen som patienten haft, uppgift om planerade besök för patienten, förteckning över erlagda patientavgifter, uppgift om aktuella sjukskrivningar, de dokument som läkaren sänder och mottar rörande patienten, laboratoriesvar, förteckning över förskrivna läkemedel, journaltext, uppgift om diagnos och överkänslighet samt uppgifter om patientens sjukhusvård. Vidare kan läkare och patient utväxla meddelanden via hälso- och sjukvårdskontot.

För att patienten skall kunna ta del av sina uppgifter eller utväxla meddelanden med läkaren måste han eller hon först logga in sig med en PIN-kod och ett via sin mobiltelefon erhållet engångslösenord.

Datainspektionen inledde tillsyn mot landstingsstyrelsen och fann i beslut den 16 oktober 2003 att det inte är förenligt med bestämmelserna i vårdregisterlagen att ge enskilda patienter direktåtkomst till uppgifter i vårdregister via Internet. Landstinget upphörde med att ge patienter direktåtkomst till vårduppgifter via Internet och överklagade Datainspektionens beslut. Landstinget gjorde bl.a. gällande att syftet med 8 § vårdregisterlagen är att förhindra att obehörig vårdpersonal ges tillgång till patientuppgifter och inte att förhindra att patienter får åtkomst till sina uppgifter.

Länsrätten i Stockholms län fann i dom den 12 oktober 2004 att Datainspektionen haft fog för sitt beslut, varför överklagandet avslogs. Länsrätten hänvisade i sin dom till förarbeten vari regeringen uttalat att det av hänsyn till sekretessen för uppgifter behövs särskilda regler för i vilken utsträckning direktåtkomst skall få finnas samt att direktåtkomst endast skall få förekomma i den utsträckning som anges i lag eller förordning.

Våren 2005 startade landstinget ett forskningsprojekt om patienters åtkomst till sin egen vårddokumentation via Internet. Forskningsprojektet utgör en fortsättning av de tidigare projekten och avser enligt ansökan om etikprövning att verifiera och komplettera tidigare resultat.

3.3.3. Landstinget i Östergötland

Våren 2004 infördes Vårdgivarportalen i Landstinget i Östergötland. Information från olika enheter i landstinget samlas i ett gemensamt IT-system. I den gemensamma plattformen ingår moduler såsom IRIS Patientöversikt, Läkemedelsmodulen och LabRoS.

IRIS Patientöversikt är en funktion för att ge behörig vårdpersonal möjlighet att söka efter uppgifter registrerade i landstingets olika datoriserade vårdsystem. Patientöversikten innehåller ett urval av uppgifter om patientens tidigare vårdkontakter. Det är respektive systemägare som bestämmer vilka uppgifter som skall ingå i översikten. Digitala röntgenbilder finns inte med i patientöversikten, men däremot utlåtandet. Det är enbart uppgifter som bedöms vara icke sekretessbelagda i förhållande till patienten som görs tillgängliga i patientöversikten. Personer med skyddade personuppgifter finns inte med i patientöversikten.

I Läkemedelsmodulen är det möjligt att få uppgift om vilka läkemedel som har förskrivits patienten.

LabRoS är en databas som innehåller laboratorieremisser och remissvar.

För att någon i vårdpersonalen skall kunna ta del av information i Vårdgivarportalen krävs att denne loggar in sig. För att få ta del av informationen krävs vidare att han eller hon är behörig och har en vårdrelation till patienten i fråga.

Till varje användares behörighet knyts ett s.k. verksamhetsuppdrag. Härmed avses uppdrag att utföra arbetsuppgift inom ramen för en yrkestillhörighet vid en viss sjukvårdande enhet, t.ex. en läkare vid Ortopedicentrum. Av verksamhetsuppdraget följer en läsrätt som är kopplad till det uppdrag användaren har på Ortopedicentrum. Om patienten inte har lämnat något samtycke till att vårdpersonal får ta del av uppgifter i Vårdgivarportalen, har användaren begränsad tillgång till vårdinformation. Han eller hon har då åtkomst till information enbart från Ortopedicentrum.

Om patienten har lämnat sitt samtycke, innebär det ett samtycke till att ta del av all information i Vårdgivarportalen. Samtycket gäller till dess det återkallas. Ett samtycke kan begränsas till att avse exempelvis enbart det aktuella vårdtillfället. Det krävs inte något skriftligt samtycke. I stället registrerar vårdpersonalen samtycket genom att kryssa i en ja-ruta i Vårdgivarportalen.

När det gäller medvetslösa patienter vars tillstånd kräver akut tillgång till tidigare vårdinformation kan behörig vårdpersonal få till-

gång till denna information även om samtycke inte tidigare har lämnats. Remissmottagare har alltid rätt att få tillgång till de uppgifter som behövs. Detta informeras patienterna om.

Landstinget i Östergötland driver även pilotprojektet PatientPortal. Projektet innebär att 100 patienter ges möjlighet att via Internet ta del av sina patientuppgifter. Patientportalen innehåller samma information om patienten som Vårdgivarportalen. Det är framförallt kroniskt sjuka som är intresserade av projektet.

Enligt landstingets uppfattning begär patienterna ett utlämnande enligt tryckfrihetsförordningen. De måste identifiera sig för att få tillgång till information. Enbart information som bedöms vara icke sekretessbelagd i förhållande till patienten görs tillgänglig. Patienterna tilldelas ett elektroniskt ID-kort och får en kortläsare hemskickad. Patienterna kan logga in sig från t.ex. sin hemdator och få tillgång till uppgifter om t.ex. laboratoriesvar, röntgensvar samt journalanteckningar från sjukhus och vårdcentraler. Via patientportalen får patienterna även möjlighet att förnya recept och boka tider. Framöver kommer patienterna även ges möjlighet att ta del av logguppgifter. Det kommer dock inte att framgå vem som har varit inloggad, utan endast vilken befattning personen i fråga har.

3.3.4. Region Skåne

Region Skåne driver sedan hösten 2002 projektet Klinisk Portal.

I den Kliniska Portalen finns ett antal s.k. sammanställningstjänster tillgängliga såsom Vårdöversikten, VMI och Gemensam Läkemedelslista. Med sammanställningstjänster avses tjänster som hämtar, sammanställer och presenterar patientinformation från olika befintliga datoriserade journalsystem. Användaren av Klinisk Portal kan gå in och söka information om en patient, men kan inte själv ändra eller lägga till något.

Vårdöversikten ger en översikt över patientens vårdkontakter och ger möjlighet att visa enskilda, utvalda journaldokument.

Gemensam Läkemedelslista utgör en förteckning över patientens aktuella läkemedel och vilka läkemedel som tidigare förskrivits patienten.

Tjänsten VMI (Viktig Medicinsk Information) innehåller i dagsläget endast information om vad patienten är överkänslig mot.

För att kunna få tillgång till någon av tjänsterna i den Kliniska Portalen krävs att personen i fråga har tilldelats behörighet därtill.

Vidare krävs att han eller hon vid inloggning identifierar sig med ett smart kort som innehåller ett av Region Skåne utfärdat certifikat. All information som passerar den Kliniska Portalen loggas. Det är således möjligt att se vilken information som har skickats och till vem samt när i tiden det skett.

Projektet har under hösten 2004 startat en pilotverksamhet, där två vårdcentraler och två sjukhus i Region Skåne använder sig av Klinisk Portal. Dessa vårdenheter anses ingå i samma sekretessområde.

Inom ramen för projektet Klinisk Portal finns delprojektet Patientliggaren. Patientliggaren skall användas framförallt av sjukhusens akutmottagningar. Genom patientliggaren uppnås en bättre kontroll av aktuellt patientflöde, de utredningar och behandlingar som igångsatts för varje patient samt patientens rumsliga förflyttningar.

3.3.5. Norrbottens läns landsting

Norrbottens läns landsting har varit förhållandevis tidigt med att införa ett sammanhållet elektroniskt journalsystem inom landstinget. Redan år 1998 fattade landstinget på central politisk nivå ett beslut om att införa ett sådant och det är i drift sedan flera år. I Norrbotten sorterar all landstingets hälso- och sjukvård, inkl. tandvård, under samma nämnd, dvs. ingår i samma myndighet.

Basen i systemet är det patientadministrativa systemet (VAS) vari både journalföring och patientadministration hanteras. Alla vårdinrättningar inom den slutna och öppna vården är anslutna till det gemensamma systemet, även den landstingsdrivna tandvården. Enligt uppgifter till utredningen har det gemensamma journalsystemet medfört en väsentlig minskning av hälso- och sjukvårdspersonalens administrativa arbete.

Inom landstinget är i princip alla journalanteckningar potentiellt tillgängliga via en patientöversikt som alla har tillgång till. Vissa begränsningar har dock lagts in vad gäller tillgång till särskilda journalanteckningar eller journaltyper, t.ex. i fråga om psykiatrin. Särskilt känslig information kan alltid ”sekretessmarkeras”. Därmed avses att informationen inte är läsbar utanför en snäv krets av behörig personal. En funktion finns dock som innebär att sekretessmarkeringar kan forceras av en del befattningshavare utanför kretsen men med särskild behörighet. Forceras spärrar, loggas detta och följs upp i särskild ordning.

3.4. Nationella initiativ och projekt

3.4.1. Carelink

Carelink Intresseförening är en ideell förening. Enligt dess stadgar är föreningens ändamål att främja en effektiv användning av IT inom vård och omsorg och att medverka till den samverkan som krävs för detta syfte. Huvuddelen av verksamheten bedrivs i ett helägt aktiebolag, Carelink AB. Föreningen skall enligt stadgarna främst vara ett forum för information och utbyte av idéer om verksamhetens inriktning och former.

Föreningen bildades i december 2000 av Landstingsförbundet och Svenska kommunförbundet (numera Sveriges Kommuner och Landsting), Föreningen Vårdföretagarna

TPTF

2

FTPT

och Apoteket AB.

Socialstyrelsen har ett samverkansavtal med föreningen. Landsting, regioner, kommuner och privata vårdföretag kan bli medlemmar i föreningen. För närvarande har föreningen samtliga landsting/regioner, 42 kommuner och 7 privata vårdgivare som medlemmar.

Carelink förvaltar och vidareutvecklar Sjunet, ett nationellt bredbandsnät för säker kommunikation mellan aktörerna inom hälso- och sjukvården. Samtliga landsting, ett antal kommuner, ett antal privata vårdgivare inklusive Praktikertjänst och Capio, Skatteverket, Apoteket AB m.fl. är i dag anslutna till Sjunet.

Carelink förvaltar också den nationella katalogtjänsten HSA, hälso- och sjukvårdens adressregister. Tjänsten möjliggör snabb och säker identifiering av kontaktpersoner och olika funktioner i t.ex. landsting eller kommuner. Katalogen används bl.a. för att centralt lagra aktuella organisations-, enhets-, funktions- och användardata och att lagra och publicera publika nycklar för e-legitimation/certifikat (s.k. PKI).

Carelinks utvecklingsarbete sker främst i ett antal större projekt som formulerats gemensamt med medlemmar och andra intressenter.

Carelink har bl.a. drivit PLUS-projektet

TPTF

3

FTPT

. Avsikten med projektet var att få beställare och leverantörer av IT-stöd inom hälso- och sjukvården att komma överens om ett antal grundförutsättningar vad avser arkitektur, gränssnitt, termer och begrepp. Detta för att underlätta framtida upphandling och integrering av befintliga IT-lösningar

P

2

P

Föreningen Vårdföretagarna är en arbetsgivar- och intresseorganisation för vårdgivare som

bedriver vård och omsorg i privat regi oavsett driftsform.

3

PLUS står för PlattformsUtveckling i Sverige.

och förenkla införandet av nya IT-lösningar. Projektet resulterade i att beställare och leverantörer enades om en gemensam referensarkitektur och ett antal beskrivningar av det principiella innehållet i tjänster för hantering av bl.a. åtkomstkontroll och loggning.

SITHS – Säker IT i Hälso- och Sjukvård – är ett mångårigt projekt som bl.a. arbetar med en elektronisk modell för säker kommunikation av medicinska data mellan informationssystem, i e-posthanteringen m.m. Man har bl.a. tagit fram en gemensam standard för elektronisk identifiering och signering, en PKI för vård och omsorg.

RIV-projektet

TPTF

4

FTPT

syftar till att åstadkomma ett för vård och omsorg

gemensamt regelverk för att säkerställa interoperabilitet mellan olika vård- och omsorgssystem, dvs. att underlätta ett strukturerat elektroniskt informationsutbyte. Utbytet kan ske mellan olika vård- och omsorgsgivare eller mellan vård- och omsorgsgivare och apotek, myndigheter och motsvarande organisationer. I RIV ingår riktlinjer, s.k. vad-dokument, och anvisningar, s.k. hur-dokument. Regelverket omfattar regler för teknisk interoperabilitet, dvs. hur system kan anpassas, och semantisk interoperabilitet avseende innehåll och struktur av informationen. De tekniska anvisningarna skall bl.a. användas för att ge vägledning för beställare i upphandlings- och implementeringssituationer samt för journalsystemsleverantörer. Metodanvisningarna beskriver hur man tar fram informationsspecifikationer för varje meddelande.

År 2003 gav Sveriges landstingsdirektörer Carelink i uppdrag att ta fram förslag till strategi och insatser för att utveckla IT-infrastrukturen för vård och omsorg. I maj 2004 presenterade Carelink rapporten ”En nationell IT-infrastruktur för vård och omsorg – Förslag till strategi och handlingsplan”. I rapporten föreslås – som ett första steg – utvecklandet av en nationell samverkande patientöversikt.

Patientöversikten skall vara en sammanställning av fördefinierade uppgifter kring en enskild patient som en behörig vårdgivare med patientens samtycke skall kunna söka fram vid behov. I patientöversikten skall basal information kring patienten presenteras, oavsett var informationen finns dokumenterad. Tjänsten skall ge möjlighet att läsa informationen, inte att dokumentera i den. Informationen i patientöversikten skall inte lagras centralt, utan endast finnas lagrad i de lokala källorna. Om det av patientöversikten framgår att patien-

4

RIV står för Regelverk för elektronisk Interoperabilitet inom Vård och omsorg.

ten vårdats eller behandlats på en viss vårdenhet, får den vårdgivare som behöver ytterligare uppgifter vända sig till den vårdenheten och begära ut information på sedvanligt sätt.

Tanken är att samtliga vårdgivare, dvs. såväl offentliga som privata, skall ha tillgång till patientöversikten och att även patienten skall kunna ta del av informationen.

Samtliga landsting har ställt sig bakom förslaget och projektet Nationell Patientöversikt har inletts.

Under år 2005 genomfördes steg ett av den Nationella patientöversikten. En pilotverksamhet med fyra landsting – Östergötland, Jönköping, Uppsala och Norrbotten – startades upp. Den information som fanns tillgänglig var patientens grunddata, patientens primärvårdskontakt på hemorten, laboratoriesvar, förskrivna läkemedel, diagnoser, slutenvårdsanteckningar (epikriser) och remissvar från röntgen. Syftet med piloten var att etablera och visa på möjligheten att kommunicera information mellan vårdgivare och patienten själv, samt att få praktisk erfarenhet av hur tjänsten bör användas och utformas, både avseende funktion och innehåll.

Steg två, som kallas Nationell patientöversikt 2006, innebär en utvidgning av patientöversikten i fråga om innehåll, funktion och arkitektur. Detta för att användningen skall kunna breddas och för att förväntad nytta av tjänsten ska kunna realiseras.

3.4.2. Socialstyrelsen

InfoVU-projektet

År 2001 gav regeringen Socialstyrelsen i uppdrag att, i samverkan med Sveriges Kommuner och Landsting, svara för samordningen av arbetet med att förbättra informationsförsörjning och verksamhetsuppföljning. Uppdraget har utförts inom projektet InfoVU (Informationsförsörjning och VerksamhetsUppföljning) som har arbetat i enlighet med den inriktning som framgår i propositionen Nationell handlingsplan för utveckling av hälso- och sjukvården (prop. 1999/2000:149).

InfoVU:s arbete har omfattat flera områden och har utförts i en rad olika delprojekt. Därutöver har man arbetat i s.k. kunskapsnätverk. Bland annat har man arbetat med att utveckla generaliserbara system för informationsförsörjningen för att dels möjliggöra ökad samverkan mellan huvudmännen kring den enskilde patienten, dels

kunna följa vårdens insatser genom hela sjukvårdsorganisationen, dvs. även över gränser mellan huvudmännen. Verksamhetsuppföljning byggd på individdata har varit ett prioriterat område och man har tagit fram en modell för verksamhetsuppföljning. Under år 2005 hade InfoVU bl.a. i uppdrag att pröva modellen för verksamhetsuppföljning.

I InfoVU-projektets huvudrapport Mäta och öppet redovisa resultaten i vård och omsorg redovisas kunskapsunderlag och förutsättningar som är nödvändiga för att kunna genomföra en individbaserad verksamhetsuppföljning och öppet redovisa resultat, kvalitet och kostnader. Enligt rapporten krävs bl.a. en ändamålsenlig och elektronisk dokumentation som följer patienten och där uppgifterna registreras med enhetlig informationsstruktur, enhetliga begrepp och termer, klassifikationer och kvalitetsindikatorer. Det behövs också metoder att ta fram resurs- och kostnadsdata och beskriva behov och sätta mål. I rapporten redovisas fem mätpunkter som är särskilt viktiga för individbaserad verksamhetsuppföljning. Dessa är: 1) kontaktorsak, 2) bedömning/diagnos, 3) behov, 4) åtgärder/insatser, och 5) resultat.

Socialstyrelsen hade under år 2005 – den 30 juni 2006 i uppdrag att, i samverkan med Sveriges Kommuner och Landsting, driva och samordna implementering och fortsatt utveckling av InfoVU:s arbete. Uppdraget genomfördes i ett antal delprojekt som redovisas i tre rapporter. : 1) På väg mot öppna redovisningar. Nuläge och exempel på stödinsatser för ökad tillgänglighet och användbarhet, 2) Individbaserad verksamhetsuppföljning för personer som insjuknat i stroke och personer med psykiska funktionshinder, och 3) Kostnad per brukare och per resultat. Pilotförsök inom vård och omsorg i Östersund.

I rapporterna konstateras att de resultat och slutsatser som lyfts fram i tidigare InfoVU-arbete stärks ytterligare. Det är möjligt att dokumentera information i anslutning till de fem mätpunkter som InfoVU tidigare identifierat som särskilt viktiga när man skall följa och avgöra vårdens resultat, kvalitet och kostnader. Viktig information dokumenteras dock inte systematiskt och enhetliga sätt att registrera informationen saknas. Det gäller t.ex. dokumentation av behov och tidsbestämda mål och de resultat man uppnår.

Nationell informationsstruktur samt normerad användning av begrepp och termer

År 2005 gav regeringen Socialstyrelsen i uppdrag att normera användningen av nationella termer och begrepp samt att ta fram en enhetlig informationsstruktur inom hälso- och sjukvård och omsorg, i syfte att skapa en tydlig information som stöder kommunikation och samverkan mellan huvudmän.

Uppdraget genomfördes i två samverkande projekt där dels förutsättningarna för normering inom området begrepp och termer och informationsstruktur utreddes, dels förslag togs fram för metoder, rutiner och förvaltning av en enhetlig nationell informationsstruktur.

Uppdraget redovisas i rapporten Normerad användning av begrepp och termer och en enhetlig informationsstruktur inom vård och omsorg. I rapporten belyses de förutsättningar som Socialstyrelsen har att normera inom området begrepp och termer och informationsstruktur. Vidare beskrivs de överväganden och förslag som Socialstyrelsen bedömt viktiga inför ett beslut om normering av användningen av begrepp och termer och en enhetlig informationsstruktur. Socialstyrelsen har som en del av uppdraget tagit fram en handbok för normering av begrepp och termer samt förslag till uppbyggnad och drift av Nationella Informationsstrukturens Bibliotek. Biblioteket innehåller beslutade specifikationer och regelverk.

I regleringsbrevet för år 2006 gav regeringen Socialstyrelsen i uppdrag att förbereda för att ta ett övergripande, nationellt och strategiskt ansvar för att individbaserad patientinformation görs mer entydig, uppföljningsbar och tillgänglig. Arbetet bör under 2006 inriktas på att skapa förutsättningar för en gemensam nationell informationsstruktur och enhetliga begrepp och termer. Uppdraget redovisades den 31 augusti 2006 i rapporten Handlingsplan för nationell informationsstruktur.

3.4.3. Smittskyddsinstitutet m.fl.

Sedan några år bedrivs i samverkan mellan Smittskyddsinstitutet, Socialstyrelsen, Läkemedelsverket och företrädare för barnhälsovården ett försöksprojekt om ett nationellt informationssystem för vaccinationer (SVEVAC). Barnavårdscentraler i Region Skåne och i landstingen i Östergötland, Blekinge, Västernorrland, Stockholm och Värmland deltar i projektet.

I informationssystemet ingår bl.a. en vårddatabas, vilken innehåller ett stort antal separata vårdregister. Dessa består av uppgifter som barnavårdscentralerna efter samtycke samlat in om de vaccinationer som ges i enlighet med det nationella barnvaccinationsprogrammet. Enligt uppgift finns det tekniska möjligheter att utveckla vårddatabasen till en gemensam nationell IT-tjänst för vaccinationer, vilket bl.a. skulle kunna innebära en sammanhållen journalföring för vaccinationer.

Smittskyddsinstitutet och landstingens smittskyddsläkare driver vidare ett samprojekt (SmiNet) för nationell och lokal övervakning enligt smittskyddslagen (2004:168). Anmälan enligt smittskyddslagen skall ske parallellt till Smittskyddsinstitutet och smittskyddsläkaren i aktuellt landsting. På den webbsidebaserade tjänsten SmiNet gör behandlande läkare en elektronisk anmälan av smittsamma sjukdomar enligt smittskyddslagen. En elektronisk anmälan som gjorts med användning av en inloggningsfunktion för landsting anslutna till SmiNet går parallellt till smittskyddsläkaren och Smittskyddsinstitutet. De uppgifter som behövs för att kunna logga in med denna funktion kan erhållas av smittskyddsläkaren i landstinget.

4. Central lagstiftning för informationshanteringen inom hälso- och sjukvården

4.1. Inledning

I detta kapitel redovisas den rättsliga reglering som har mer direkt betydelse för informationshanteringen inom hälso- och sjukvården. Informationshanteringen styrs naturligtvis av verksamhetens karaktär och ramar. I viss utsträckning redovisas därför även vissa delar av den lagstiftning som reglerar dessa områden.

4.2. Hälso- och sjukvårdslagen

Hälso- och sjukvårdslagen (1982:763) har karaktären av en ramlag som huvudsakligen innehåller mål och riktlinjer för hälso- och sjukvården.

Med hälso- och sjukvård avses enligt lagen åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador (1 §). Begreppet hälso- och sjukvård omfattar sålunda dels de sjukdomsförebyggande åtgärderna, dels den egentliga sjukvården. Sjukdomsförebyggande åtgärder kan avse både miljöinriktade och individinriktade åtgärder.

Till individinriktade förebyggande åtgärder räknas bl.a. åtgärder för att uppspåra hälsoproblem. Som exempel nämns i förarbetena allmänna och riktade hälsokontroller, vaccinationer, hälsoupplysning samt mödra- och barnhälsovård. Hälso- och sjukvård omfattar bl.a. åtgärder med anledning av kroppsfel och barnsbörd. Abort och sterilisering anses också inrymmas i begreppet hälso- och sjukvård (prop. 1981/82:97 s. 110 f.).

I lagen anges vidare att till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna. I fråga om tandvård finns särskilda bestämmelser.

Hälso- och sjukvården skall enligt lagen bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den skall särskilt vara

av god kvalitet med god hygienisk standard och tillgodose patientens behov av trygghet i vården och behandlingen, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet samt främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen. Vården och behandlingen skall så långt det är möjligt utformas och genomföras i samråd med patienten. (2 a §)

Patienten skall ges individuellt anpassad information om sitt hälsotillstånd och om de metoder för undersökning, vård och behandling som finns. Om informationen inte kan lämnas till patienten, skall den i stället lämnas till en närstående till patienten (2 b §).

Lagen innehåller vidare bestämmelser om bl.a. landstingets och kommunens ansvar för hälso- och sjukvård och om ledningen av hälso- och sjukvård. För en redogörelse av dessa bestämmelser, se avsnitt 2.1.

4.3. Patientjournallagen

I patientjournallagen (1985:562) finns de grundläggande bestämmelserna om all patientjournalföring inom hälso- och sjukvården. Lagen gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller således oberoende av huruvida journaler förs på papper eller elektroniskt.

I 1 § anges att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. En patientjournal är individuell och skall föras för varje enskild patient. Den får inte vara gemensam för flera patienter.

Journalen består, enligt 2 §, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling.

Patientjournallagen innehåller därutöver bestämmelser om patientjournalens innehåll, utformning och hantering (3–7 §§) och vilka yrkeskategorier som är skyldiga att föra journal och på begäran av patienten utfärda intyg om vården (9 och 10 §§). Vidare finns bestämmelser om hur journalhandlingar skall bevaras (8 §), om omhändertagande och återlämnande av patientjournaler (11–14 §§) och om offentlighet och sekretess inom enskild hälso- och sjukvård (16 §). En utförlig redovisning av dessa bestämmelser finns i avsnitt 10.

4.4. Personuppgiftslagen

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter med hänvisning till enskilda personers fri- och rättigheter.

Med anledning av att dataskyddsdirektivet skulle antas, tillsattes i juni 1995 Datalagskommittén. Kommitténs uppgift vara att göra en total revision av datalagen (1973:289) och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39).

Personuppgiftslagen (1998:204), som i stora delar trädde i kraft den 24 oktober 1998, bygger i allt väsentligt på det förslag som lades fram i Datalagskommitténs betänkande.

Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges också att lagen inte heller skall tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Slutligen gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket). Personuppgiftslagens tillämpningsområde kan dessutom inskränkas genom

särreglering i annan lag eller förordning, exempelvis registerlagstiftningen. Lagen innehåller endast generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för mer speciella områden skulle tillgodoses genom särskild registerlagstiftning. Sådan särreglering får dock givetvis inte stå i strid med dataskyddsdirektivet eller Europarådets dataskyddskonvention.

Personuppgiftslagen innehåller i 3 § en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftslagen omfattar således varken uppgifter om juridiska personer eller uppgifter om avlidna fysiska personer. I förarbetena har anförts att det endast krävs att en fysisk person kan identifieras med hjälp av informationen, inte att den personuppgiftsansvarige själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig (SOU 1997:39 s. 338). Även bild- och ljuduppgifter som kan hänföras till en person kan omfattas. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter (9 §). Personuppgifter skall behandlas bara om det är lagligt. Behandlingen skall alltid ske på ett korrekt sätt och i enlighet med god sed.

Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). En behandling för historiska, statistiska eller

vetenskapliga ändamål skall dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas. De personuppgifter som behandlas skall vara riktiga och, om det är nödvändigt, aktuella.

Alla rimliga åtgärder skall vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste föreligga för att en behandling skall vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Föreligger inget samtycke kan en behandling vara tillåten, om den är nödvändig för ett antal uppräknade syften.

Är en behandling nödvändig för att ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, så kan den vara tillåten.

En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade skall kunna skyddas eller för att en arbetsuppgift av allmänt intresse skall kunna utföras.

Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgifts-

ansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.

Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt (15 §). Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras (16 §). Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation (17 §). Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess (18 §). Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter (19 §).

Regeringen, eller den myndighet som regeringens bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandlad känsliga uppgifter (20 §).

Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 §). Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock besluta om undantag från förbudet.

Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Har uppgifterna samlats in från en annan källa skall den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade krävs inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker 24 §). Finns det i lag eller annan författning särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade.

När information skall lämnas skall den enligt 25 § omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Enligt 26 § är den personuppgiftsansvarige härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut, s.k. registerutdrag.

Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska

eller vetenskapliga ändamål behöver information dock inte lämnas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget för löpande text som inte fått sin slutliga utformning gäller dock inte om personuppgifterna behandlats under längre tid än ett år. Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige (28 §). Den sistnämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.

Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige (31 §). Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekretess, skall dessa tillämpas.

Den personuppgiftsansvarige skall enligt 31 § vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.

Det är enligt 33 § förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skyddsnivå skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Det finns en rad undantag från förbudet angivna direkt i personuppgiftslagen (34 §). Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också

tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade skall kunna skyddas.

Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen, eller den myndighet som regeringen bestämmer, får vidare meddela föreskrifter om undantag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Slutligen får regeringen och, efter delegation, Datainspektionen besluta om undantag från förbudet i vissa enskilda fall.

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten (37 §).

I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet. Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (43–45 §§).

Den personuppgiftsansvarige skall enligt 48 § ersätta den registrerade för skada och kränkning av den personliga integriteten som en

behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Den som uppsåtligen eller av oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse (49 §). Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behandlar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.

Den 1 januari 2007

TPF

1

FPT

träder nya bestämmelser i personuppgifts-

lagen i kraft. De nya bestämmelserna innebär att sådan behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (s.k. ostrukturerat material) undantas från de flesta av personuppgiftslagens hanteringsregler. För sådant material gäller i stället att behandling inte får utföras, om den innebär en kränkning av den registrerades personliga integritet. Bestämmelserna innebär vidare att gärningar som begås av oaktsamhet av normalgraden inte längre är straffbara.

4.5. Vårdregisterlagen

Lagen (1998:544) om vårdregister (vårdregisterlagen) reglerar automatiserad behandling av personuppgifter i vårdregister.

Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 §). Personuppgiftslagen gäller dock inte i den mån avvikande bestämmelser finns i annan lag eller förordning.

Enligt 1 § vårdregisterlagen får den som bedriver vård utföra automatiserad behandling av personuppgifter i vårdregister. Med vård avses vård enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).

1

Se prop. 2005/06:173, bet. 2005/06:KU37, rskr. 2005/06:254 och SFS 2006:398.

Vårdregisterlagen omfattar register som förekommer inom vårdens individinriktade verksamhet. Inom hälso- och sjukvården förs även andra register med mer övergripande syften såsom framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvården. Ett exempel på sådana register är kvalitetsregister. Personuppgiftslagen (1998:204) är tillämplig på behandling av personuppgifter i sådana register. Personuppgifter i ett vårdregister får enligt lagen behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall (3 § vårdregisterlagen). Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall. Personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister får även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning (4 §).

Ett vårdregister får innehålla dels uppgifter som skall ingå i en patientjournal, dels andra uppgifter som antecknas i och för vården av patienter eller som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 §).

Uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården får hämtas till ett vårdregister från andra vårdregister genom samkörning. Dessutom får patientens läkemedelsförteckning samt uppgifter om patientens folkbokföringsadress hämtas till registret genom samkörning (6 §).

Personuppgifter som avses i 13 § eller 21 §personuppgiftslagen får inte användas som sökbegrepp i ett vårdregister. Inte heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (2005:716) användas som sökbegrepp (7 §). Trots detta förbud är det tillåtet att som sökbegrepp använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård.

Direktåtkomst till uppgifter i ett vårdregister får endast den ha som behöver tillgång till uppgifterna för att kunna utföra sitt arbete. Uppgifterna skall behövas för något av de ändamål för vilka ett vårdregister får användas. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande (8 §).

Personuppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling, om de skall användas för ändamål för vilka

vårdregister får föras. Detsamma gäller om uppgifterna skall användas för framställning av statistik, administration på verksamhetsområdet, uppföljning, utvärdering eller kvalitetssäkring eller om uppgifterna skall lämnas på grund av uppgiftsutlämnande som föreskrivs i lag eller förordning (9 §).

I vårdregisterlagen finns därutöver bestämmelser om vilken information om personuppgiftsbehandlingen som måste lämnas till en registrerad (11 §).

När det gäller patientjournalhandlingar som ingår i ett vårdregister finns hänvisningar till bestämmelser i patientjournallagen om bevarande och gallring, om begränsningar i fråga om utlämnande av personuppgifter och om begränsningar i skyldigheten att vidta rättelse m.m. Hänvisningar finns också till sekretesslagen och, i fråga om rättelse och skadestånd, till personuppgiftslagen.

4.6. Hälsodataregisterlagen

Hälsodataregister är personregister som förs av central förvaltningsmyndighet inom hälso- och sjukvården för ändamål av mer övergripande karaktär som inte syftar till användning för den individinriktade vården. Genom lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) ges en central förvaltningsmyndighet inom hälso- och sjukvården möjlighet att föra automatiserad behandling av personuppgifter i hälsodataregister (1 §). Med central förvaltningsmyndighet inom hälso- och sjukvården avses myndighet som enligt sin instruktion har ett ansvar för en eller flera verksamheter inom området.

Hälsodataregisterlagen är, liksom vårdregisterlagen, en speciallag som kompletterar men inte ersätter personuppgiftslagen.

Enligt 3 § hälsodataregisterlagen får personuppgifter i ett hälsodataregister behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, samt forskning och epidemiologiska undersökningar.

Ett hälsodataregister får endast innehålla uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas (4 §).

Den som bedriver verksamhet inom hälso- och sjukvården åläggs i lagen en skyldighet att lämna uppgifter till ett hälsodataregister för de ändamål som registret har (6 §).

Hälsodataregisterlagen innebär att det under vissa förutsättningar är tillåtet att föra hälsodataregister. I lagen preciseras dock inte vissa

specifika ändamål för vilka behandling får ske. Detta sker i stället genom föreskrifter som regeringen meddelar med stöd av lagen. Enligt bemyndiganden i lagen får regeringen meddela föreskrifter om bl.a. vilka myndigheter som får föra hälsodataregister samt begränsningar av de angivna ändamålen och av de uppgifter som ett hälsodataregister får innehålla. Regeringen har i anledning av dessa bemyndiganden utfärdat förordningen (2001:707) om patientregister hos Socialstyrelsen, förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen, förordningen (2001:709) om cancerregister hos Socialstyrelsen förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen samt förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården. Se även 4 kap. 4 § läkemedelsförordningen (2006:272).

4.7. Sekretesslagen

Uppgifter inom den allmänna hälso- och sjukvården omfattas av sekretesslagens (1980:100) bestämmelser.

Sekretess gäller i förhållande till såväl enskilda (fysiska eller juridiska personer) som andra myndigheter. Uppgifter som skyddas av sekretess får inte lämnas från en myndighet till en enskild eller annan myndighet utan stöd i sekretesslagen. Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.

Enligt 7 kap. 1 c § första stycket gäller sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om enskilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit och presumtionen är alltså för sekretess.

I 7 kap. 1 c § sista stycket första meningen finns ett undantag från den annars gällande presumtionen för sekretess. Där föreskrivs att en myndighet inom ett landsting eller en kommun som bedriver hälso- och sjukvård får lämna uppgifter till en annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet med tillämpning av ett rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. Sekretess gäller

endast om det kan antas att den enskilde eller dennes närstående lider men om uppgiften röjs.

Sekretessen enligt 1 c § gäller också i förhållande till den vård- och behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne (7 kap. 3 §).

Sekretess gäller inom hälso- och sjukvården och i annan medicinsk verksamhet samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs (7 kap. 6 §).

I sekretesslagen finns särskilda undantagsbestämmelser som innebär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Dessa bestämmelser berörs närmare i avsnitt 11.5.1.

Offentlighets- och sekretesskommittén (OSEK) har i sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) lämnat förslag till en ny sekretesslag. Flera av kommitténs förslag har betydelse för uppgiftsutbytet inom hälso- och sjukvården eller mellan hälso- och sjukvården och andra verksamheter. Dessa förslag redovisas senare i detta betänkande i anslutning till frågeställningar som rör vårt uppdrag, se t.ex. avsnitt 11.5.2, 12.3 och 14.3.

OSEK:s förslag bereds för närvarande inom Regeringskansliet.

4.8. Lagen om yrkesverksamhet på hälso- och sjukvårdens område

Lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område innehåller bestämmelser om skyldigheter för hälso- och sjukvårdspersonal. Därutöver finns bl.a. behörighets- och legitimationsregler samt bestämmelser om disciplinpåföljd m.m., Hälso- och sjukvårdens ansvarsnämnd (HSAN) och Socialstyrelsens tillsyn. Hälso- och sjukvårdspersonal är en benämning på den personal som fullgör sjukvårdsuppgifter i allmän eller enskild hälso- och sjukvård och tandvård. Till hälso- och sjukvårdspersonalen hör enligt lagen alla som har legitimation för yrke inom hälso- och sjukvården. Dessa är bl.a. läkare, sjukgymnaster, tandläkare och tandhygienister. Lagen är alltså tillämplig inom såväl allmän som enskild hälso- och sjukvård.

Med hälso- och sjukvård enligt nämnda lag avses sådan verksamhet som omfattas av hälso- och sjukvårdslagen, tandvårdslagen, lagen (2001:499) om omskärelse av pojkar samt verksamhet inom detaljhandel med läkemedel (1 kap. 2 §).

Med vårdgivare avses i lagen fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård (1 kap. 3 §).

Med hälso- och sjukvårdspersonal avses bl.a. den som har legitimation för yrke inom hälso- och sjukvården, personal som är verksam vid sjukhus och andra vårdinrättningar och som medverkar i hälso- och sjukvård av patienter och den som i annat fall vid hälso- och sjukvård av patienter biträder en legitimerad yrkesutövare (1 kap. 4 §).

I 2 kap. finns bestämmelser om skyldigheter för hälso- och sjukvårdspersonal. Den som tillhör hälso- och sjukvårdspersonalen skall utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient skall ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården skall så långt som möjligt utformas och genomföras i samråd med patienten. Patienten skall visas omtanke och respekt (1 §).

Vidare skall den som har ansvaret för hälso- och sjukvården av en patient se till att patienten ges individuellt anpassad information om sitt hälsotillstånd och om de metoder för undersökning, vård och behandling som finns. Om informationen inte kan lämnas till patienten skall den i stället lämnas till en närstående till patienten (2 §). När det finns flera behandlingsalternativ som står i överensstämmelse med vetenskap och beprövad erfarenhet skall den som har ansvaret för hälso- och sjukvården av en patient medverka till att patienten ges möjlighet att välja det alternativ som han eller hon föredrar (2 a §).

Den som tillhör hälso- och sjukvårdspersonalen bär själv ansvaret för hur han eller hon fullgör sina arbetsuppgifter (5 §).

Den som tillhör hälso- och sjukvårdspersonalen får överlåta en arbetsuppgift till någon annan endast när det är förenligt med kravet på en god och säker vård. Den som överlåter en arbetsuppgift till någon annan svarar för att denne har förutsättningar att fullgöra uppgiften (6 §).

Lagen innehåller även särskilda bestämmelser om tystnadsplikt inom enskild hälso- och sjukvård. Enligt 2 kap. 8 § får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra

personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Tystnadsplikt som gäller för en uppgift om en patients hälsotillstånd gäller även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.

Vidare får, enligt 2 kap. 9 §, den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja en uppgift från en enskild om någon annan persons hälsotillstånd eller andra personliga förhållanden, om det kan antas att det finns en risk för att den som lämnat uppgiften eller någon annan närstående till uppgiftslämnaren utsätts för våld eller annat allvarligt men om uppgiften röjs. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

Lagen innehåller även bestämmelser om Socialstyrelsens tillsyn över hälso- och sjukvården och dess personal (6 kap.). Tillsynen skall främst syfta till att förebygga skador och eliminera risker i hälso- och sjukvården. Socialstyrelsen skall genom sin tillsyn stödja och granska verksamheten och hälso- och sjukvårdspersonalens åtgärder (3 §).

5. En internationell utblick

5.1. WHO

WHO (World Health Assembly) har antagit en resolution om eHealth eller e-hälsa (WHA58.28, Maj 2005). E-hälsa är ett begrepp för informations- och kommunikationsteknikens tillämpning inom alla funktioner som påverkar hälso- och sjukvårdssektorn. Det kan handla om nätverk för hälso- och sjukvårdsinformation, elektroniska patientjournaler, telemedicin, kroppsburna och bärbara övervakningssystem samt hälso- och sjukvårdsportaler. I resolutionen noteras bl.a. den positiva inverkan som framsteg inom informationsteknologin kan få för hälso- och sjukvårdstjänster, folkhälsa, forskning och hälsofrämjande åtgärder i såväl länder med hög levnadsstandard som länder med låg levnadsstandard. Vidare fastslås att e-hälsa är ett kostnadseffektivt och säkert sätt att använda informationsteknologi för ändamål som hälso- och sjukvård, hälsoövervakning, kunskapsutveckling och forskning. Medlemsstaterna uppmanas i resolutionen att överväga att utarbeta långsiktiga strategier för utveckling och implementering av e-hälsotjänster. Strategierna skall bl.a. omfatta uppbyggnad av lämplig legal reglering och infrastruktur.

5.2. EU

Även inom EU bedrivs arbete på området eHealth eller e-hälsa.

Den 30 april 2004 presenterade Europeiska kommissionen en handlingsplan för ett europeiskt område för e-hälsa [E-hälsovård – bättre hälso- och sjukvård för Europas medborgare: Handlingsplan för ett europeiskt område för E-hälsovård SEK (2004:539)]. Denna innehåller en tidsplan och pekar ut de områden som kräver medlemsstaternas omedelbara uppmärksamhet. Ett exempel på en åtgärd som skall vidtas var att varje medlemsstat före utgången av år 2005 skall utarbeta en nationell eller regional plan för e-hälsa. Detta har Sverige

gjort genom den i avsnitt 3.2 beskrivna nationella IT-strategin för vård och omsorg. Ett annat exempel är att medlemsstaterna före utgången av år 2006 i samarbete med kommissionen skulle fastställa en gemensam syn på patientidentifikation samt kartlägga och ange interoperabilitetsstandarder för hälso- och sjukvårdsuppgifter och elektroniska patientjournaler.

För att närmare studera potentiella vinster och konsekvenser av en ökad patientrörlighet inom Europa tog EU:s hälsoministrar initiativ till en högnivåprocess för reflektion kring dessa frågor. Bland annat etablerades en permanent högnivågrupp High Level Group on Health Services and Medical Care under kommissionens generaldirektorat för hälsofrågor (DG SANCO) för att stödja europeiskt samarbete på området. I anslutning till högnivågruppen har arbetsgruppen Working Group on Information and eHealth inrättats. Huvudsyftet med gruppens arbete är att vara ett stöd i medlemsstaternas arbete med att implementera IT-lösningar i de nationella sjukvårdssystemen. Genom att föreslå en ökad koordinering av existerande samverkansprocesser och forskning på området menar gruppen att det europeiska erfarenhetsutbytet på området kan ske mer kraftfullt och fokuserat än vad som hittills varit fallet. Från och med sommaren 2006 har Generaldirektoratet för informationssamhället (DG INFSO) övertagit huvudmannaskapet för det europeiska samarbetet för eHealth genom bildandet av kommissionsarbetsgruppen i 2010 sub-group on eHealth i vilken Sverige representeras av Socialdepartementet.

Europeiska kommissionen har även tagit initiativet att tillsätta en utredning (Study in Legal and Regulatory Aspects of eHealth – Legally eHealth) med uppdrag att bidra till genomförandet av handlingsplanen genom klargörande av de rättsliga förutsättningarna för utvecklingen av e-hälsa. Arbetet i utredningen inleddes den 1 januari 2006 och skall pågå fram till kommande årsskifte.

5.3. Internationella riktlinjer för persondataskydd

Europarådet utfärdade den 28 januari 1981 en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (Convention for the protection of individuals with regard to automatic processing of personal data, European treaty Series no. 108). Till konventionen har utarbetats ett tilläggsprotokoll om tillsynsmyndigheter och flödet av personuppgifter över gränserna. Konventionen får bl.a. betydelse i Sverige på så sätt att det enligt personuppgiftslagen

är tillåtet att föra över personuppgifter för användning i en stat som godkänt konventionen. I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. I fråga om hälso- och sjukvårdsområdet torde det främst vara Recommendation No. R (97) 5 of the Committe of Ministers to Member States on the protection of medical data som bör nämnas.

Även Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer för integritetsskydd och persondataflöde.

Den s.k. Berlin-gruppen [International Working Group on Data Protection in Telecommunications (IWGDPT)] har sedan 1983 antagit ett antal rekommendationer ("Common Positions" och "Working Papers") som syftar till att förbättra integritetsskyddet vid telekommunikation. I gruppen finns representanter för myndigheter (Data Protection Authorities), internationella organisationer samt forskare från hela världen. Sedan början av 1990-talet har gruppen särskilt inriktat sitt arbete på integritetsskyddet på Internet. Gruppen har antagit en rekommendation som avser nätverksbaserad överföring av journaluppgifter m.m. [Online Availability of Electronic Health Records (Washington D.C., 06./07.04.2006)].

5.4. Danmark

I Danmark finns sedan år 2003 en nationell IT-strategi för hälso- och sjukvården – National IT-strategi for sundhedsvæsenet 2003–2007. Denna ersatte den tidigare nationella strategin för IT i sjukhusverksamheten 2000–2002. Den förstnämnda strategin innehåller ett antal visioner och målsättningar för informationsanvändningen i hälso- och sjukvården. Den beskriver även ett antal initiativ som måste tas.

Dessa initiativ rör bl.a. utveckling och införande av elektroniska patientjournaler (EPJ) inom den danska hälso- och sjukvården. Målsättningen anges vara en elektronisk enhetsjournal; en patientjournal där patientens all vårddokumentation samlas. Tanken är att inrätta en nationell databas med patientuppgifter. När patienten uppsöker hälso- och sjukvården tankar läkaren ned uppgifterna i det lokala systemet. Dokumentationen görs i det lokala systemet och tankas sedan tillbaka till den nationella databasen.

Få att uppnå detta mål bedrivs det nationella projektet Grundstruktur for Elektroniske PatientJournaler (G-EPJ). G-EPJ är en

nationell standard för begrepp i elektroniska patientjournaler och syftar till att säkra en gemensam struktur för kommunikation mellan EPJ-system och mellan EPJ-system och andra informationssystem inom hälso- och sjukvården.. Projektet skall enligt IT-strategin skapa underlag för en koordinerad utveckling och implementering av elektroniska patientjournaler baserade på denna nationella standard.

I enlighet med IT-strategin har Medicinprofilen inrättats. Medicinprofilen är en elektronisk översikt över patientens uthämtade receptbelagda läkemedel de senaste två åren. Patienten och den läkare som har en aktuell patientrelation med patienten har tillgång till denna, liksom en farmaceut om patienten samtycker till det. Patienten får tillgång till sin medicinprofil via inloggning på hälsoportalen Sundhed.dk. Patienten har möjlighet att se vem som har sökt efter upplysningar i hans eller hennes medicinprofil.

Enskilda kan också sedan september 2005 via Internet ta del av vissa uppgifter om sina sjukhusbesök, t.ex. diagnoser och behandling. Uppgifterna finns registrerade i Sundhedsstyrelsens Landspatientregister. För att få tillgång till uppgifterna krävs att den enskilde har en digital signatur. Målsättningen enligt IT-strategin är att enskilda även skall få möjlighet att få tillgång till sina egna journaler. Landspatientregistret innehåller uppgifter om slutenvård från år 1977 och om akutvård och öppenvård sedan år 1995.

I lov om patienters retsstilling, som trädde i kraft den 1 oktober 1998, finns grundläggande bestämmelser om förhållandet mellan patienten och hälso- och sjukvårdspersonalen. Lagen innehåller bl.a. bestämmelser om tystnadsplikt och om utlämnande av uppgifter om patienter. Enligt huvudregeln krävs patientens samtycke för att uppgifter om hans eller hennes hälsotillstånd m.m. skall få lämnas ut till annan hälso- och sjukvårdspersonal i samband med vård av patienten. Uppgifter kan också lämnas ut utan patientens samtycke, t.ex. om det är nödvändigt för vård och behandling av patienten och utlämnandet sker med hänsyn till patientens intresse och behov. Patienten har dock rätt att motsätta sig utlämnandet. Bestämmelserna anses inte hindra pågående utvecklingsarbete. Lov om patienters retsstilling ersätts den 1 januari 2007 av den nya sundhetsloven (Lov nr 546 af 24/06/2005), som då träder i kraft i sina huvuddelar. Sundhetsloven kan närmast beskrivas som en hälso- och sjukvårdsbalk och innehåller följaktligen all på området aktuell lagstiftning. I stor utsträckning har sundhetsloven karaktär av ramlagstiftning. Avsikten är att regeringen och, i vissa fall, myndigheter inom hälso- och sjukvårdsområdet med stöd av lagen skall meddela föreskrifter

som mer i detalj reglerar olika områden. I avsnitt XIV finns bestämmelser om kvalitetsutveckling, forskning, inrapportering av uppgifter till centrala myndigheter och patientsäkerhet. I lagen anges vissa åligganden för offentliga vårdgivare att bedriva kvalitetsutveckling och medverka till bl.a. forskning. Även privata vårdgivare kan åläggas att bedriva sådan verksamhet. Vidare finns vissa bestämmelser om skyldighet för vårdgivare m.fl. att inrapportera uppgifter om verksamheten till centrala hälso- och sjukvårdsmyndigheter. Inrikes- och hälsoministern kan utfärda föreskrifter om att vårdgivare m.fl. oberoende av samtycke från den registrerade skall inrapportera vissa uppgifter om hälsa till kliniska kvalitetsdatabaser (kvalitetsregister) som en offentlig myndighet är ansvarig för. Med en patients muntliga samtycke kan även uppgifter i det s.k. Landspatientregisteret om undersökningar, diagnoser och behandlingar vidarebefordras till den behandlande läkaren för ändamålet att behandla den aktuella patienten. I sammanhanget kan även nämnas att vårdgivare har skyldighet att inrapportera incidenter för ändamålet att förbättra patientsäkerheten.

5.5. Norge

I Norge har det funnits nationella IT-strategier för vård och omsorg sedan år 1997 – Mer helse for hver bIT, handlingsplan 1997–2000 och Si@!, statlig tiltaksplan 2001–2003. Sistnämnda strategi fokuserade på elektronisk kommunikation inom vård och omsorg, telemedicin, ett nationellt hälso- och sjukvårdsnät och offentlig information. Det nationella hälso- och sjukvårdsnätet infördes år 2003.

Strategin för år 2004–2007, S@mspill 2007 – Elektronisk samarbeid i helse- och socialsektoren, har koncentrerats till satsningar på två områden. Den första satsningen gäller förbättring av informationsöverföringen inom vård och omsorg. Det förutsätter enligt strategin arbete med bl.a. infrastruktur, informationsstruktur, elektroniska patientjournaler och utväxlande av meddelanden. Den andra satsningen avser inkludering av nya aktörer, t.ex. kommunerna, i det elektroniska samarbetet inom sektorn. I strategin anges att det behövs en genomgång av gällande rätt för att beskriva olika alternativa lösningar, båda sådana som kan genomföras inom ramen för gällande rätt och sådana som kräver lagändringar.

Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter

och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) omfattas av EES-avtalet och Norge har genomfört direktivet genom personopplysningsloven, som liksom personuppgiftslagen (1998:204) även gäller behandling av personuppgifter om hälsa.

Vid sidan av personupplysningsloven finns dock även en särlagstiftning för hälso- och sjukvårdsområdet i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven). Denna lag reglerar liksom personuppgiftslagen såväl automatiserad som viss manuell behandling av "helseopplysninger" (uppgifter om hälsa) inom ”helseforvaltningen og helsetjenesten” (hälso- och sjukvården) i de fall ändamålen med behandlingen är att ge effektiv och relevant hälsovård eller att uppnå kunskaper med anknytning till administration eller forskning. Om uppgifter om hälsa behandlas för andra ändamål, regleras detta inte av helseregisterloven, men väl av personopplysningsloven. Utrycket "helseforvaltningen og helsetjenesten" omfattar alla de institutioner som har uppgifter enligt hälso- och sjukvårdslagstiftningen, både offentliga och privata aktörer.

I lagen finns bl.a. regler om insamling av uppgifter om hälsa och regler om upprättande av hälsoregister. Vidare innehåller lagen allmänna bestämmelser om behandling av uppgifter om hälsa, bestämmelser om bl.a. datasäkerhet, samkörning och internkontroll, bestämmelser om utlämnande samt bestämmelser om de registrerades rättigheter såsom rätt till insyn, information, rättelse och utplåning.

Lagen begränsar möjligheterna att inrätta nya lokala, regionala eller nationella hälsoregister. För att ett sådant register skall få inrättas krävs bestämmelser om detta i lag eller i en föreskrift som meddelas av regeringen.

Det krävs som huvudregel samtycke från den registrerade för att sådan automatiserad behandling av personuppgifter om henne eller honom skall få äga rum, om inte registren endast skall innehålla avidentifierade uppgifter eller pseudonymer. I lagen anges dock vissa register i vilka uppgifter såsom namn, födelsenummer och andra identifieringsuppgifter kan behandlas utan samtycke från den registrerade, om det är nödvändigt med hänsyn till ändamålen för registren.

I lagen ges regeringen rätt att meddela föreskrifter på en rad områden. I anslutning till lagen har det även meddelats föreskrifter om åtta särskilda hälsoregister som är nationella och av vilka vissa är motsvarigheter till de svenska hälsodataregistren, t.ex. Dødsårsaksregisteret, Kreftregisteret eller Medisinsk fødselsregister, medan

andra register saknar motsvarighet i Sverige, t.ex. Tuberkuloseregisteret, System for vaksinasjonskontroll (SYSVAK) eller Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM). En föreskrift avser det norska Reseptregisteret och en föreskrift avser Meldingssystem for smittsomme sykdommer og om varsling om smittsomme sykdommer (MSIS); det sistnämnda systemet kan sägas vara en motsvarighet till det i avsnitt 3.4.3 nämnda projektet SmiNet.

När det gäller informationshanteringen i den individinriktade patientverksamheten inom hälso- och sjukvården regleras den i Norge även av lov 2 juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven). Helsepersonelloven innehåller bl.a. bestämmelser om hälso- och sjukvårdspersonalens tystnadsplikt och olika slags undantag från denna plikt. Undantagen avser dels bestämmelser om ett flertal skyldigheter att lämna uppgifter för vissa ändamål eller till vissa mottagare, dels bestämmelser om när uppgifter om patienter m.fl. får lämnas till medarbetare eller andra mottagare inom eller utom den egna organisationen. Helsepersonelloven innehåller även bestämmelser om skyldighet att föra patientjournal; bestämmelser som i huvudsak motsvarar den svenska patientjournallagen (1985:562). Helsepersonelloven fylls ut av ett stort antal föreskrifter som närmare reglerar olika förhållanden inom hälso- och sjukvården. En central föreskrift är foreskrift av 21 december 2000 nr. 1385 om pasientjournal. I den regleras bl.a. frågor om journalsystem, journalansvar, journalens innehåll, skydd för personlig integritet m.m.

Slutligen skall nämnas att liksom i Danmark finns i Norge en lag om patienters rättigheter, lov av 2 juli 1999 nr. 63 om pasientrettigheter (patientrettighetsloven). Sistnämnd lag reglerar bl.a. frågor om rätt till sjukvård, rätt att ta del av sin journal, rätt att få information och att skyddas mot spridning av personuppgifter. Av övriga frågor kan nämnas att lagen också innehåller bestämmelser om hantering av inhämtande av samtycke i hälso- och sjukvården, t.ex. i fråga om barn och ungdomar.

5.6. England

National Health Service (NHS) i England satsar stora summor på att skapa en nationell, enhetlig IT-infrastruktur för hälso- och sjukvården utifrån strategin NHS Connecting for Health. Strategin är inriktad på livslång, elektronisk vårddokumentation för alla, med

dygnet runt on-line tillgång till patientjournaler och information om bästa kliniska arbetssätt för alla NHS-kliniker. För att införa det nationella programmet lokalt har landet delats in i fem ”cluster”, vart och ett omfattande fem, sex eller sju Regional Health Authorities. Programmet är kostnadsberäknat till sex miljarder pund (85 miljarder kronor). I december 2010 skall åtgärder i enlighet med strategin vara helt genomförda.

VÅRA ÖVERVÄGANDEN M.M.

6. Några allmänna utgångspunkter

6.1. Generell lagstiftning eller speciallösningar?

Vi har fått det övergripande uppdraget att se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området. Häri ingår bl.a. en översyn av patientjournallagen (1985:562) och lagen (1998:544) om vårdregister samt frågor om en för flera vårdgivare sammanhållen patientjournal för varje patient och om nationella kvalitetsregister. Även sekretessfrågor med anledning av dessa uppgifter ingår i vårt uppdrag.

Som framgått av avsnitt 2 är ansvaret för hälso- och sjukvården delat mellan staten som står för den övergripande hälso- och sjukvårdspolitiken och landstingen som ansvarar för och organiserar hälso- och sjukvården, inklusive tandvården, inom sina respektive geografiska områden. Kommunerna har dock ett huvudmannaansvar för viss hälso- och sjukvård till äldre och funktionshindrade. Detsamma gäller staten som ansvarar för och bedriver hälso- och sjukvård i viss begränsad omfattning och med anknytning till annan verksamhet, t.ex. inom kriminalvården, högskolan och försvaret. Skolhuvudmännen, normalt en kommun eller en fristående skola, ansvarar för hälso- och sjukvård inom skolhälsovården.

Vid sidan om dessa huvudmän har andelen privata vårdgivare inom den offentligt finansierade hälso- och sjukvården stadigt ökat under de senare decennierna och står nu för ca tio procent av de totala vårdkostnaderna. Vissa privata vårdgivare bedriver hälso- och sjukvård som är helt privatfinansierad, t.ex. en del psykoterapeuter, optiker, plastikkirurger m.fl.

Vårt uppdrag är inte begränsat till visst slags hälso- och sjukvård eller vissa av de nämnda huvudmännens eller andra vårdgivares verksamhet.

Det säger sig därmed självt att en nödvändig utgångspunkt för vårt arbete är att våra författningsförslag måste ha en generell inrikt-

ning för att kunna tillämpas inom hela den stora och brokiga sektor som utgör hälso- och sjukvård. Samma regler skall kunna tillämpas både i den komplexa informationshanteringen vid ett stort regionsjukhus och i den mer småskaliga dito hos en privatpraktiserande tandläkare med bara en anställd tandsköterska.

Det är också en utgångspunkt att våra förslag skall vara flexibla så till vida att de i möjligaste mån kommer att vara oberoende av förändringar på grund av sådana nya faktiska, organisatoriska eller rättsliga förutsättningar som ständigt påverkar hälso- och sjukvårdens utveckling. Likaså är det vår ambition att våra förslag inte skall vara beroende av att vissa tekniska lösningar används.

Det sagda innebär att våra författningsförslag i huvudsak har karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Som kommer att framgå av våra lagförslag i det följande föreslår vi att närmare reglering i vissa generella frågor skall kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. En sådan författningsteknik är fördelaktig i det avseendet att detaljregler, som sannolikt behöver ändras emellanåt, inte måste underställas riksdagens prövning. De från patientsäkerhets- och integritetssynpunkt viktigaste principerna bör dock regleras i lag.

Med den generella och övergripande inriktning som vårt uppdrag getts, har vi inte haft möjlighet att närmare granska och beakta de särskilda förhållanden och behov som kan finnas inom varje medicinsk specialitet eller liknande avgränsade specialområden inom hälso- och sjukvården. Detsamma gäller behov av särlösningar för särskilda patientgrupper. Vi utesluter dock inte att det på något eller några områden kan visa sig uppstå behov av att se över och överväga reglering som avviker från våra generella förslag i ett eller annat avseende. Det bör enligt vår mening dock ske i särskild ordning.

6.2. Vårt arbete och parallellt arbete rörande hälso- och sjukvårdens framtida IT-användning

Parallellt med vårt arbete bedrivs på olika nivåer ett intensivt arbete med att finna lämpliga former att hantera de kvalitativa, strukturella och finansiella utmaningar som hälso- och sjukvården totalt sett står inför. Delar av detta arbete har beskrivits kortfattat i avsnitt 2 och 3.

En utvecklad och samordnad användning av IT-stöd har i detta arbete alltmer betonats som ett kraftfullt verktyg att möta allmänhetens krav och förväntningar på en hälso- och sjukvård som är tillgänglig, av hög kvalitet, patientsäker och effektiv. I den Nationella IT-strategin för vård och omsorg, se avsnitt 3.2, har Socialdepartementet, Sveriges Kommuner och landsting, Socialstyrelsen, Läkemedelsverket, Apoteket AB och Carelink formulerat ett antal mål och visioner för framtidens IT i vård och omsorg, dvs. inte bara inom hälso- och sjukvården utan även i viss socialtjänst rörande bl.a. äldre och funktionshindrade. Ett centralt mål är att dokumenterade uppgifter om en patient, patientdata, skall kunna följa patienten och vara elektroniskt tillgängliga över organisationsgränser. Visionen är att patientdata skall finnas åtkomlig med hjälp av IT oavsett när och var inom hälso- och sjukvården dokumentationen skett och oavsett när och var en senare vårdkontakt uppstår.

Vi ser vårt arbete som en del av den process som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Vi är också i huvudsak positiva till strävandena för hälso- och sjukvårdens IT-utveckling. Samtidigt konstaterar vi att mycket av det som nu diskuteras är just mål och visioner. Även om våra förslag syftar till att vara framåtblickande och öppna för nya sätt att arbeta och hantera information, har vi fått anpassa våra förslag till dagens konkreta strukturer och förutsättningar för informationshanteringen vilka vi bedömer kommer att gälla under en överblickbar framtid.

Förutom att vara en nödvändighet ser vi även ett egenvärde i att den sedan länge gällande rättsliga ordningen för dokumentering och hantering av uppgifter om patienter inte tvärt och genomgripande förändras i en omfattning som avser hela den komplexa hälso- och sjukvården och som därmed berör så gott som hela landets befolkning. En av våra utgångspunkter är alltså att det är viktigt att gå stegvis fram. Våra förslag skall därvid ses som ett eller några steg i den riktning som bl.a. pekats ut i våra direktiv och i den nyss nämnda Nationella IT-strategin. Enligt vår mening är det av största vikt att ytterligare steg övervägs först efter utvärderingar och analyser av de erfarenheter som vinns efter en tids full drift av sådana mer storskaliga informationssystem som är i startgroparna men som i dag drivs bara i begränsade projektformer. Först då kan förändringar motiveras utifrån närmare kunskap om vilka konsekvenser som olika slags lösningar och system genererat för patientsäkerhet, integritet,

effektivitet och andra viktiga intressen för hälso- och sjukvårdens informationshantering.

6.3. Patientsäkerhet kontra patientintegritet?

Under vårt arbete har flera centrala aktörer på området gjort gällande att vi i dag har en lagstiftning som låter patientintegriteten väga tyngre än patientsäkerheten. Enligt denna uppfattning tycks patientsäkerhet och patientintegritet befinna sig i ett statiskt motsatsförhållande enligt en linjär skala som innebär att vi får mer patientsäkerhet med mindre integritetsskydd och, omvänt, mindre patientsäkerhet med mer integritetsskydd. Konsekvensen av den uppfattningen torde vara att det nu handlar om att flytta den rättspolitiska positionen mellan de motstående intressena i en mer patientsäker riktning. Detta skulle i så fall ske genom att undanröja en mängd rättsliga hinder för breddad elektronisk tillgänglighet till uppgifter om patienter mellan olika vårdgivare inom hälso- och sjukvården, hinder som syftar till att garantera enskilda ett skydd för den personliga integriteten. Ibland hävdas också att detta är vad patienterna förväntar sig och önskar.

Självklart kan integritetsskydd och patientsäkerhet ibland hamna i ett motsatsförhållande. Samtidigt anser vi att den uppmålade bilden av ett statiskt motsatsförhållande är en vilseledande förenkling, som vi inte velat ta som utgångspunkt för vårt arbete. Vi har alltså inte tolkat vårt uppdrag som att i huvudsak handla om att undanröja en rad rättsliga hinder.

Den centrala utgångspunkten för vårt arbete är i stället att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter, menar vi, att man inte överger principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet bara därför att tekniken medger nya sätt att hantera uppgifter. I förlängningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.

Allmänhetens förtroende för hälso- och sjukvårdens informationshantering är i dag generellt sett starkt. Det framgår av bl.a. en större enkätundersökning som vi låtit Statistiska centralbyrån utföra år 2005. Samtidigt visar enkätundersökningen upp en ganska splittrad bild av förväntningarna hos allmänheten inför förändringar i hälso- och sjukvårdens informationshantering. För vissa är ett strikt integritetsskydd av största vikt och de är oroade över tanken på en ökad elektronisk tillgänglighet bland hälso- och sjukvårdspersonal

till uppgifter om dem medan andra inte känner någon oro över en sådan utveckling. Vi har sett det som oerhört väsentligt för förtroendet för hälso- och sjukvården att den mer eller mindre starka oro som vissa känner inför förändringar i informationshantering tas på allvar.

Vad utredningsarbetet konkret handlar om är därför att skapa rättsliga garantier för att nya möjligheter att använda IT inom hälso- och sjukvården – bl.a. i fråga om breddad elektronisk tillgänglighet till information om patienten inom hälso- och sjukvården – inte på ett oacceptabelt sätt inkräktar på patientens personliga integritet. En utgångspunkt i det arbetet är att den enskilda patientens inställning i fråga om spridningen av uppgifter om honom eller henne inom hälso- och sjukvårdssektorn så långt möjligt skall respekteras. Att allmänheten kräver ett sådant inflytande för patienten framgår av den nyss nämnda enkätundersökningen. Denna bild bekräftas också av hearingar som vi haft med olika patientorganisationer. Ett patientinflytande över spridningen i förening med andra integritetsskyddande åtgärder behövs för att det goda förtroendet för hälso- och sjukvården skall bestå och helst förstärkas.

Samtidigt är det vår utgångspunkt att det är ett viktigt allmänintresse att vårdgivare på ett rationellt och effektivt sätt kan använda IT för att fullgöra de uppgifter som åligger dem. Våra förslag avspeglar således den avvägning som vi funnit rimlig i de fall en konflikt uppstår mellan samhällets behov eller andra intressen kontra patientens berättigade anspråk på skydd för sin personliga integritet.

6.4. Några avgränsningsfrågor

Våra direktiv är vida och allmänt hållna. De frågor som vi skall ta upp är ofta inte närmare avgränsade. Vi har därför när det gäller mer specifika frågor, som inte har så nära beröring med kärnfrågorna i vårt utredningsuppdrag, avstått från djupare analys av dessa. Det innebär att några frågor – som vi i och för sig tycker är förtjänta av en mer ingående analys – berörs ganska översiktligt. En sådan fråga är barns och ungdomars ställning i hälso- och sjukvården. Av särskilt intresse i det sammanhanget är underårigas självbestämmande och integritetsskydd vid kontakter med hälso- och sjukvården. Underårigas eget inflytande över journalhanteringen i takt med tilltagande mognad kan ge upphov till svåra avvägningsproblem. Hur skall den unges mognadsgrad bedömas och vilken betydelse i sammanhanget har karaktären på uppgifterna om den unge? Även om frågor av

detta slag ofta aktualiseras inom hälso- och sjukvården, har vi inte ansett det vara vårt uppdrag att närmare penetrera dessa. En annan komplex fråga rör tillgången till och användningen av vårddokumentation i utbildningen av blivande hälso- och sjukvårdspersonal. Det har sagts oss att praxisen på området skiljer sig från vad gällande rätt föreskriver. Hur regelverket närmare tillämpas inom hälso- och sjukvården har vi dock avstått från att skärskåda. En ytterligare komplicerad fråga, som vi också ansett som alltför perifer i förhållande till våra direktiv för att närmare analyseras, är vilken sekretess som gäller för uppgifter som används för forskning inom hälso- och sjukvården. Forskningen utgör i sekretesslagens (1980:100) mening en självständig verksamhetsgren även när den bedrivs av vårdgivarens personal. Rättsläget i dag såvitt gäller frågan vilka sekretessbestämmelser som är tillämpliga i forskningsverksamheten anses av många som oklart. När det gäller frågor om forskningssekretess, se från senare tid bl.a. Elisabeth Rynning, Patientuppgifter som forskningsresurs – om integritetsskydd och intresseavvägningar, Förvaltningsrättslig tidskrift 2003 s. 95 ff. och Integritetsskyddet i forskningen – en känslig historia, Förvaltningsrättslig tidskrift 2005 s. 459

7. En ny lag

7.1. Vårt uppdrag

Vi har fått det övergripande uppdraget att se över den nuvarande regleringen av behandlingen av personuppgifter inom hälso- och sjukvården och lämna förslag till en väl fungerande och sammanhängande reglering av området.

7.2. Dagens splittrade lagstiftning

Bestämmelser av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter finns i dag i ett flertal författningar. De som är av direkt betydelse för hanteringen är framförallt patientjournallagen (1985:562), lagen (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagen (1998:204). För den allmänna hälso- och sjukvården gäller vidare tryckfrihetsförordningens bestämmelser om allmänna handlingar och handlingsoffentlighet, arkivlagens (1990:782) bestämmelser om bevarande och gallring av allmänna handlingar och sekretesslagens (1980:100) bestämmelser om sekretess och tystnadsplikt. Delvis motsvarande bestämmelser om tystnadsplikt inom den enskilda hälso- och sjukvården finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Även hälso- och sjukvårdslagen (1982:763) innehåller bestämmelser av viss betydelse för informationshanteringen. Därutöver finns bestämmelser i speciallagstiftning, förordningar och myndighetsföreskrifter som måste beaktas vid informationshanteringen på vissa områden inom hälso- och sjukvården.

Det har i olika sammanhang anförts att det nuvarande regelverket är alltför splittrat och att det leder till otydlighet och problem i den praktiska tillämpningen. I våra kontakter med företrädare för hälso- och sjukvården har framkommit att det är en utbredd uppfattning inom hälso- och sjukvården att den splittrade lagstiftningen

i sig skapar en osäkerhet om vad som egentligen gäller för hanteringen av personuppgifter. Detta har bl.a. fått till följd att skillnader i hur lagarna tolkas och tillämpas inte är ovanliga inom hälso- och sjukvårdsområdet. Inte minst gäller detta tolkning av regelverket kring inre och yttre sekretess i samband med befattningshavares tillgång till elektronisk information och elektroniskt utbyte av patientuppgifter mellan olika vårdenheter. Omfattningen av vårdregisterlagens tillämpningsområde är en annan fråga som det ofta uppstår osäkerhet kring liksom frågan om vad personuppgiftslagen egentligen tillåter eller ställer för krav på personuppgiftsbehandlingen.

Över huvud taget kan sägas att regleringen av hälso- och sjukvårdssektorn är uppdelad på en mycket stor mängd författningar. Att sektorn genererat många lagar är knappast ägnat att förvåna redan med tanke på sektorns omfattning (samhällets kostnader för hälso- och sjukvårdssektorn uppgick år 2004 till 9,1 procent av bruttonationalprodukten), komplexiteten i verksamheten och de många förändringar i sektorn som utvecklingen i olika avseenden påkallat eller som annars genomförts. Den splittrade lagstiftningen har i flera sammanhang kommenterats och kritiserats för att vara svårtillgänglig, oöverblickbar och för att leda till tillämpningsproblem i olika avseenden.

Kommittén om hälso- och sjukvårdens finansiering och organisation (HSU 2000) behandlade frågan om en mer samlad hälso- och sjukvårdslagstiftning i betänkandet Patienten har rätt (SOU 1997:154 s. 115 f.). Kommittén anförde bl.a. att hälso- och sjukvårdslagstiftningen behöver ses över. Enligt kommittén borde en av utgångspunkterna vid översynen vara att de bestämmelser som har betydelse för patientens ställning samlas i en lag i stället för att som nu vara spridda på flera lagar. Den uppenbara fördelen med detta skulle, enligt kommittén, vara att bestämmelserna blir tillgängliga och överskådliga för såväl patienter och personal som allmänheten. Det skulle därmed bli lättare att sprida kunskap om vad som faktiskt gäller på området. Kommittén ansåg det vidare viktigt för rättssäkerheten med en klar och lättillgänglig lagstiftning, särskilt på områden där bestämmelserna i första hand skall tolkas och tillämpas av personer utan juridisk utbildning. Lagtekniskt skulle detta kunna åstadkommas på olika sätt, t.ex. genom en patientlag som reglerar patientens ställning eller som ett eget kapitel i en hälso- och sjukvårdsbalk. Kommittén fann emellertid att frågan har lagstiftningstekniska komplikationer som föll utanför kommitténs uppdrag och föreslog regeringen att den skulle ta initiativ till en samlad översyn av hälso- och sjukvårds-

lagstiftningen i syfte att åstadkomma en patientfokuserad och tydlig reglering av patientens ställning.

Någon sådan bred översyn som kommittén föreslog har hittills inte kommit till stånd. I förarbetena till lagen om yrkesverksamhet på hälso- och sjukvårdens område anförde dock regeringen att lagen var ett första steg i den riktning som förespråkats av kommittén (prop. 1997/98:109 s. 78 f.). Beträffande regleringen av yrkesverksamhet på hälso- och sjukvårdens område uttalade regeringen bl.a. att patienterna har ett befogat intresse av att lagstiftningen är effektiv, lättillgänglig och tydlig. Ur patientens synvinkel är det av särskilt värde att samla bestämmelserna i en lag. Eftersom lagstiftningen konkret tillämpas på yrkesutövarna inom hälso- och sjukvården, har dessa yrkesutövare ett särskilt intresse av att lagstiftningen är klar, konsekvent och överskådlig. Myndigheter som skall tillämpa lagstiftningen, främst Socialstyrelsen och Hälso- och sjukvårdens ansvarsnämnd, har självfallet också ett intresse av att lagstiftningen är lätt att överblicka och att tillämpa. Sammanfattningsvis ansåg regeringen att en bättre samordning borde ske vad gäller de då fem lagar som bl.a. reglerade de olika yrkesgruppernas skyldigheter inom hälso- och sjukvården. Enligt regeringen torde tillämpningen av lagstiftningen, liksom dess överblickbarhet, avsevärt underlättas om reglerna samlas i ett mer enhetligt regelsystem. Om man i en lag tydligt särskiljer de olika delfrågorna, genom att dela in lagen i flera kapitel, förbättras överblickbarheten avsevärt även om den föreslagna lagen blir omfångsrik.

7.3. Våra överväganden

7.3.1. En mer samlad reglering

Vårt förslag: Bestämmelserna i patientjournallagen och vårdregisterlagen sammanförs i en ny lag, patientdatalagen.

Vi har förståelse för att det splittrade regelverket kring personuppgiftsbehandling inom hälso- och sjukvården kan innebära problem. På motsvarande sätt som anförts i samband med införandet av lagen om yrkesverksamhet på hälso- och sjukvårdens område anser vi att tillämpningen av lagstiftningen avsevärt skulle underlättas och bli mer enhetlig med en mer sammanhållen reglering än den nuvarande. En samlad reglering vinner i tydlighet, konsekvens och överblickbar-

het; nog så viktiga komponenter för enskilda patienters integritetsskydd.

Som tidigare nämnts är det framför allt bestämmelserna i patientjournallagen, vårdregisterlagen och personuppgiftslagen som är av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter. Det är alltså i första hand bestämmelserna i de två förstnämnda lagarna som bör föras samman i en ny lag. (Vi återkommer till frågan hur en ny sådan lag skulle förhålla sig till bestämmelserna i personuppgiftslagen.)

Patientjournallagen innehåller de grundläggande bestämmelserna om patientjournaler inom hälso- och sjukvården. Lagen ställer krav på journalernas utformning, innehåll och hantering. Den innehåller därutöver bestämmelser om bl.a. hur journalerna skall bevaras, vilka yrkeskategorier som är skyldiga att föra journal och omhändertagande av journaler. Lagen är teknikneutral, dvs. den gäller oavsett om journaler förs på papper eller elektroniskt.

Vårdregisterlagen reglerar automatiserad behandling av personuppgifter i vårdregister och gäller utöver personuppgiftslagens bestämmelser. Vårdregister förekommer inom hälso- och sjukvårdens individinriktade verksamhet och används för dokumentation av vården av patienter, för sådan administration som rör enskilda patienter och som syftar till att bereda vård i enskilda fall samt för den ekonomiadministration som föranleds av vård i enskilda fall. I lagen finns bestämmelser om bl.a. vilka uppgifter som får finnas i ett vårdregister, för vilka ändamål personuppgifter i vårdregister får behandlas, i vad mån uppgifter får hämtas till ett vårdregister från andra register genom samkörning, i vad mån direktåtkomst till uppgifter i ett vårdregister får medges och i vad mån uppgifter får lämnas ut från ett vårdregister på medium för automatiserad behandling.

Vårdregisterlagen är en registerförfattning och reglerar vilken personuppgiftsbehandling som får utföras. Patientjournallagen är däremot inte någon registerförfattning, utan innehåller regler om vad som måste göras i fråga om patientjournaler. En annan skillnad är att vårdregisterlagens bestämmelser avser behandling av personuppgifter, medan patientjournallagens bestämmelser avser såväl informationshantering som bedrivande av verksamheten.

För att uppnå en mer sammanhållen lagstiftning bör, enligt vår uppfattning, utgångspunkten vara att samtliga bestämmelser i patientjournallagen och vårdregisterlagen skall föras över till den nya lagen. Det innebär att den nya lagen kommer att innehålla bestämmelser som reglerar såväl verksamheten som behandling av personupp-

gifter. Med tanke på att praktiskt taget all patientdatahantering i framtiden kommer att vara elektronisk framstår det enligt vår mening som mest ändamålsenligt med en sådan ordning. Sådan ”blandad” lagstiftning förekommer för övrigt redan i dag. Ett exempel härpå är kreditupplysningslagen (1973:1173).

Andra alternativ skulle vara att behålla de verksamhetsstyrande reglerna i patientjournallagen eller att föra över dem till någon annan författning, t.ex. hälso- och sjukvårdslagen eller lagen om yrkesverksamhet på hälso- och sjukvårdens område. Då skulle emellertid regelverket kring patientdatahantering vara fortsatt splittrat och tillämpningen av lagstiftningen skulle inte underlättas på det sätt som vi eftersträvar.

Vi föreslår alltså att bestämmelserna i patientjournallagen och vårdregisterlagen sammanförs i en ny lag. Denna bör ges namnet patientdatalagen.

För att den nya lagen skall bli överblickbar föreslår vi att den delas in i flera kapitel. I ett inledande kapitel bör lagens tillämpningsområde, vissa begrepp, m.m. beskrivas. Ett kapitel bör innehålla grundläggande bestämmelser om behandling av personuppgifter. Ett annat kapitel bör innehålla bestämmelser om skyldigheten att föra patientjournal, vilka bestämmelser hämtas från patientjournallagen. Den föreslagna lagen bör även innehålla särskilda kapitel med bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar, nationella och regionala kvalitetsregister samt rättigheter för den enskilde.

7.3.2. Lagens tillämpningsområde

Vårt förslag: Patientdatalagen skall tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Verksamhet hos t.ex. patientnämnder och läkemedelskommittéer eller verksamhet hos t.ex. Smittskyddsinstitutet eller Socialstyrelsen omfattas inte av lagen.

Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

Tillämpningsområdet omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av

personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar.

Därutöver gäller vissa särskilda bestämmelser om dokumentation m.m. i patientjournaler. Dessa bestämmelser är tillämpliga även om behandlingen sker manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.

Personuppgiftsbehandling i verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patientnämnder eller läkemedelskommittéer. Även hos en vårdgivare som omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som faller utanför lagens tillämpningsområde. Så är exempelvis fallet i internadministrativ verksamhet vid personuppgiftsbehandling rörande anställda eller rörande leverantörer av varor och tjänster.

Sådan särskild personuppgiftsbehandling som sker för forskningsändamål eller utbildningsändamål faller utanför lagens tillämpningsområde.

Vårt uppdrag

Enligt våra första tilläggsdirektiv (dir. 2004:95) skall vårt förslag till reglering omfatta behandlingen av personuppgifter i den medicinska vården, den kvalitetsförbättrande verksamheten, forskningen och den administrativa verksamheten inom hälso- och sjukvården. Närmare än så preciseras inte det tänkta tillämpningsområdet för en kommande reglering. Efter en sammanfattande beskrivning av gällande rätt på området redovisar vi våra överväganden när det gäller såväl vems som vilken personuppgiftsbehandling som bör regleras av patientdatalagen.

Dagens reglering

Personuppgiftslagen har ett vidsträckt tillämpningsområde och reglerar i princip all hantering inom hälso- och sjukvårdssektorn av information om patienter, anhöriga, personal, fysiska uppdragstagare och andra enskilda så länge som uppgifterna direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även vid hantering av t.ex. kodade uppgifter eller pseudonymer är personuppgiftslagens bestämmelser således tillämpliga. Däremot är personuppgiftslagen inte tillämplig när det handlar om behandling av uppgifter om avlidna. Vidare skall hanteringen, dvs. personuppgiftsbehandlingen, ske helt eller delvis automatiserat eller manuellt i register för att omfattas av personuppgiftslagen. Personuppgiftslagen är alltså teknikoberoende.

Vid elektronisk behandling av personuppgifter i vårdregister gäller därutöver vårdregisterlagen. Tillämpningsområdet för vårdregisterlagen är knutet till särskilda datoriserade samlingar av personuppgifter som inrättats för att användas i hälso- och sjukvårdens individinriktade vårdverksamhet.

Med vård enligt vårdregisterlagen avses vård enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168). Enligt förarbetena till vårdregisterlagen avses denna hänvisning till uppräknade lagar skapa tydlighet i fråga om vilken vårdverksamhet som omfattas av vårdregisterlagens tillämpningsområde. All elektronisk patientjournalföring – oavsett om den grundar sig på patientjournallagen eller annan författning – regleras av vårdregisterlagen (prop. 1997/98:108 s. 68 f.).

Vad som utgör ett vårdregister bestäms i hög grad av vårdregisterlagens ändamålsreglering i kombination med en bestämmelse om vad ett vårdregister får innehålla. Personuppgifter i ett vårdregister får behandlas för ändamålen dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Dessutom får personuppgifter behandlas för den ekonomiadministration som föranleds av vård i enskilda fall (3 §). De nämnda ändamålen kan kallas primära. Endast sådana personuppgifter som behövs för dessa primära ändamål får finnas i ett vårdregister. Vårdregisterlagen reglerar, liksom personuppgiftslagen, bara behandling av uppgifter om levande personer.

Personuppgifter i vårdregister får emellertid även användas för framställning av statistik, för uppföljning, utvärdering, kvalitetssäk-

ring och administration på verksamhetsområdet samt för uppgiftsutlämnande som föreskrivs i lag eller förordning (4 §). Dessa ändamål kan sägas vara sekundära ändamål. Personuppgiftsbehandling som sker särskilt för något eller flera av dessa sekundära ändamål omfattas dock inte av vårdregisterlagens tillämpningsområde. Personuppgiftsbehandling i register eller liknande elektroniska uppgiftssamlingar som inrättats för andra ändamål än vårdregisterlagens primära ändamål – t.ex. kvalitetsregister eller elektroniska system för avvikelserapportering – regleras således bara av personuppgiftslagen.

Patientdatalagens tillämpningsområde

Hälso- och sjukvård är en omfattande sektor i samhället som inbegriper många myndigheter, företag och andra aktörer med verksamhet av betydelse för sektorn. Förutom landstingen och kommunerna – som ansvarar för organiserandet av hälso- och sjukvården inom sina områden och som dessutom i egen regi bedriver hälso- och sjukvård – finns det ett växande antal privata vårdgivare som tillhandahåller hälso- och sjukvård åt patienter. En del statliga myndigheter, såsom t.ex. Kriminalvården och Totalförsvarets pliktverk, tillhandahåller viss hälso- och sjukvård. Till hälso- och sjukvården hör även företagshälsovården och skolhälsovården; verksamheter som kan ha en rad olika huvudmän. Därutöver finns flera statliga myndigheter med uppgifter inom hälso- och sjukvårdssektorn. Den största är Socialstyrelsen som bl.a. utövar tillsyn över hälso- och sjukvården samt över hälso- och sjukvårdspersonalen. Hälso- och sjukvårdens ansvarsnämnd är en annan statlig myndighet som prövar anmälningar mot hälso- och sjukvårdspersonal i samband med undersökning, vård och behandling av patienter. Både Socialstyrelsen och ansvarsnämnden hanterar integritetskänsliga uppgifter om patienter i sina verksamheter. Även vid andra statliga myndigheter, t.ex. universitet och andra forskningshuvudmän, förekommer behandling av personuppgifter om patienter i en inte obetydlig omfattning. En fråga är hur omfattande patientdatalagens tillämpningsområde skall vara i fråga om vems personuppgiftsbehandling som regleras av lagen. Härmed sammanhänger också frågan om vilken eller vilka slags verksamheter som skall regleras av patientdatalagens bestämmelser om personuppgiftsbehandling.

Utgångspunkten här bör enligt vår uppfattning vara att patientdatalagen skall koncentreras till att omfatta personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oberoende av om den verksamheten sker enligt hälso- och sjukvårdslagen, tandvårdslagen, lagen om psykiatrisk tvångsvård, lagen om rättspsykiatrisk vård, smittskyddslagen eller någon annan lagstiftning. Hit hör t.ex. även insemination, abort, sterilisering, kastrering, omskärelse och transplantationsingrepp på givare, blodgivning och annan liknande patientverksamhet som innefattar vård, undersökning eller behandling. Härigenom avgränsas tillämpningsområdet i förhållande till personuppgiftsbehandling hos sådana andra myndigheter m.fl. som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, såsom Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd för att ta några exempel. Även verksamhet vid sjukvårdhuvudmännens läkemedelskommittéer och patientnämnder faller utanför patientdatalagens tillämpningsområde.

Det sagda innebär att det är vårdgivares personuppgiftsbehandling som regleras av lagen. Vi föreslår att begreppet vårdgivare definieras i patientdatalagen. Med vårdgivare avses – med ett undantag – i patientdatalagen en fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård. En vårdgivare kan vara en fysisk person som bedriver hälso- och sjukvård i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande. Sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen är egna juridiska personer och utgör självständiga vårdgivare. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen landstinget eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Härmed avses exempelvis både s.k. beställar- och utförarnämnder i ett landsting eller en kommun.

Undantaget i patientdatalagen från huvudregeln om att vårdgivaren skall vara en juridisk eller fysisk person avser individinriktad hälso- och sjukvård som tillhandahålls av statliga myndigheter. Sådan hälso- och sjukvård bedrivs parallellt med annan verksamhet som utgör myndighetens huvuduppgift, t.ex. hos universitet och högskolor, Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets plikt-

verk. Vi menar därför att det är naturligt att behandla dessa statliga myndigheter som separata vårdgivare i patientdatalagens mening.

Till den ovan beskrivna kärnverksamheten – individinriktad patientvård – hör ett ansvar att administrera och att i olika avseenden utveckla verksamheten. Även i den verksamheten behöver vårdgivare behandla personuppgifter, oftast samma uppgifter som samlats in i patientvården. Även denna personuppgiftsbehandling bör regleras av patientdatalagen. Däremot anser vi att personuppgiftsbehandlingen i den rent administrativa verksamheten utan nära koppling till patientverksamheten – t.ex. i personaladministrationen, materialförsörjningen m.m. – bör falla utanför patientdatalagens tillämpningsområde.

I våra direktiv anges att regleringen också skall omfatta forskning inom hälso- och sjukvården. Genom våra förslag ovan om att det bara är vårdgivares personuppgiftsbehandling som skall regleras av patientdatalagen, faller delar av den medicinska forskningen och annan vårdrelaterad forskning utanför tillämpningsområdet, nämligen i den mån denna bedrivs av andra huvudmän än vårdgivare. Sjukvårdshuvudmännen bedriver emellertid själva i betydande omfattning medicinsk och annan forskning inom hälso- och sjukvården. I 26 b § hälso- och sjukvårdslagen åläggs sjukvårdshuvudmännen ett ansvar för att medverka vid genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt forskningsarbete. När det gäller den s.k. patientnära eller kliniska forskningen som förekommer hos vårdgivare, bedrivs den inte sällan integrerat med patientvården. Såsom närmare beskrivs i avsnitt 17 utgör forskning respektive patientvård emellertid självständiga verksamhetsgrenar i förhållande till varandra. Förutsättningarna för behandling av bl.a. känsliga personuppgifter för forskningsändamål är föremål för särreglering i lagen (2003:460) om etikprövning av forskning som avser människor.

Den särskilda personuppgiftsbehandling som föranleds av forskningen i den patientnära forskningen bör enligt vår uppfattning inte regleras av patientdatalagen. Härmed avses dokumentation som enbart sker i forskningssyfte och heller inte har någon betydelse för vården. Sådan personuppgiftsbehandling kommer även fortsättningsvis att regleras av personuppgiftslagen. Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården, regleras den informationshanteringen dock av patientdatalagen.

Motsvarande bör gälla för den kliniska utbildningen av t.ex. blivande läkare och sjuksköterskor. Det har inte varit möjligt att inom ramen för vårt uppdrag närmare granska förutsättningarna för att använda uppgifter om patienter i teoretisk eller praktisk hälso- och sjukvårdsutbildning. Vi vill emellertid framhålla att utbildningsverksamhet i allt väsentligt är en egen verksamhetsgren också då den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård. Utbildningsverksamheten som sådan ingår alltså inte i patientdatalagens tillämpningsområde. I den utsträckning studenter emellertid deltar i den faktiska patientvården såsom praktikanter, omfattas deras arbete, om än i utbildningssyfte, av patientdatalagens tillämpningsområde. Det innebär bl.a. att vårdgivare i sådana fall skall kunna låta studenterna få ta del av och även kunna föra anteckningar i elektroniska patientjournaler i nödvändig omfattning. Normalt torde detta förutsätta såväl patientens samtycke som att praktikantens åtgärder sker under en handledares uppsikt och ledning.

När det därefter gäller vilken slags personuppgiftsbehandling som skall regleras av patientdatalagen gör vi följande överväganden.

Vid behandling av personuppgifter i vårdgivarnas verksamhet förekommer en i det närmaste oöverblickbar mängd olika slags datoriserade register. Det förekommer vidare andra elektroniska system för hantering av personuppgifter som inte kan sägas ha organiserats och systematiserats på sätt som gör att man kan tala om register. Utvecklingen går alltmer mot att olika funktioner integreras i stora elektroniska system för hantering av både ett flertal strukturerade uppgiftssamlingar och annan mer ostrukturerad information. På grund av denna informationstekniska utveckling har det blivit allt svårare att fastställa såväl när ett register inrättats som vad som är ett register i förhållande till ett annat. Det har också vid tillämpning av vårdregisterlagen uppstått en hel del oklarheter om vad som kan sägas ingå i ett vårdregister eller inte. Det har i sin tur medfört svårigheter att bedöma dels hur personuppgifter som finns elektroniskt lagrade i verksamheten får användas, dels vilken lag – personuppgiftslagen eller vårdregisterlagen – som är tillämplig på en enskild personuppgiftsbehandling. Problemen gäller framför allt när individbunden information om patienter används för sådana sekundära ändamål som avses i 4 § vårdregisterlagen.

Genom personuppgiftslagens införande har begreppet register kommit att spela en underordnad roll vid elektronisk behandling av personuppgifter. All elektronisk behandling av personuppgifter omfattas av personuppgiftslagens bestämmelser alldeles oavsett om

personuppgifterna ingår i register eller inte. I stället har det blivit av avgörande betydelse att personuppgifter skall samlas in för uttryckligt angivna ändamål och sedan inte användas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Mot bakgrund av den komplexa IT-struktur som vuxit fram inom hälso- och sjukvården menar vi att övervägande skäl talar för att patientdatalagens reglering av personuppgiftsbehandling skall omfatta inte bara personuppgiftsbehandling i särskilda register eller databaser utan på samma sätt som personuppgiftslagen omfatta all helt eller delvis automatiserad behandling av personuppgifter i kärnverksamheten. Vidare bör även manuell behandling i register eller för registerföring omfattas. Ledning för bedömning av vilken manuell hantering som omfattas kan sökas i förarbeten, doktrin och praxis rörande personuppgiftslagens bestämmelser, se t.ex. RÅ 2001 ref. 35. Såsom framgått av föregående avsnitt kommer även patientjournallagens bestämmelser om dokumentation m.m. i patientjournaler att föras in i patientdatalagen. I denna del kommer patientdatalagen att bli tillämplig även på manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register. Detta skall uttryckligen framgå av lagen.

I hälso- och sjukvårdens verksamhet förekommer en mängd uppgifter om avlidna. Som redovisats i det föregående är varken personuppgiftslagen eller vårdregisterlagen tillämpliga på dessa uppgifter. Däremot gäller patientjournallagens bestämmelser i tillämpliga delar, t.ex. skall skyldigheten att föra patientjournal även i fortsättningen omfatta patient som avlider. Vi menar därutöver att uppgifter om avlidna patienter kan vara integritetskänsliga och att därför även sådana uppgifter bör omfattas av lagens bestämmelser om personuppgiftsbehandling i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna.

7.3.3. Patientdatalagens förhållande till annan lagstiftning

Förhållandet till personuppgiftslagen

Personuppgiftslagen gäller vid helt eller delvis automatiserad behandling av personuppgifter och vid manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en struk-

turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen innehåller vissa definitioner och grundläggande förutsättningar för när behandling av personuppgifter är tillåten. I lagen finns vidare bl.a. bestämmelser om information till den registrerade, om säkerhet vid behandlingen, om rättelse av uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen och om skadestånd.

Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Det är emellertid möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för personuppgiftslagens bestämmelser. En förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmelserna i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Avseende de bestämmelser som inte skall avvika från personuppgiftslagen har det förekommit olika lösningar i tidigare lagstiftningsärenden.

En metod är att konstruera den särskilda författningen så att den genom särreglering endast kompletterar personuppgiftslagen. Den särskilda författningen kommer då att gälla utöver personuppgiftslagen, vilket innebär att när reglering saknas i den särskilda författningen kommer personuppgiftslagens bestämmelser att vara tillämpliga. Nackdelen med denna lösning är att lagtillämparen kan ha svårt att få en överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga. Metoden används bl.a. i vårdregisterlagen.

En annan metod är att reglera de bestämmelser som avviker från personuppgiftslagen särskilt i specialförfattningen och uttryckligen hänvisa till de lagrum i personuppgiftslagen som skall vara tillämpliga. Fördelarna med denna metod är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden har emellertid fått kritik av Lagrådet som bl.a. ansett att lagstiftningstekniken är riskfylld, med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga (prop. 2000/01:33 s. 345). Metoden används dock i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Som skäl härför anförde regeringen att denna lagstiftningsteknik redan användes i regleringen av Tull-

verkets fiskala verksamhet och att det fanns ett inte obetydligt värde i att använda samma typ av lagstiftningsteknik för behandling av personuppgifter i myndighetens hela verksamhet, utom i den rent administrativa verksamhet som i princip regleras av enbart personuppgiftslagen. Regeringen menade vidare att risken att inte kunna överblicka att dataskyddsdirektivet till fullo blir genomfört i princip inte gjorde sig gällande på det aktuella ärendet eftersom Tullverkets brottsbekämpande verksamhet delvis ligger utanför direktivets tillämpningsområde (prop. 2004/05:164 s. 48).

Dessa skäl gör sig emellertid inte gällande i fråga om den föreslagna patientdatalagen. Som framgått tidigare används den förstnämnda lagstiftningstekniken i bl.a. vårdregisterlagen. Vidare omfattas hälso- och sjukvård av dataskyddsdirektivets tillämpningsområde. Mot bakgrund av de påtalade riskerna med den senare lagstiftningstekniken anser vi att patientdatalagen i förhållande till personuppgiftslagen bör enbart omfatta de särbestämmelser och förtydliganden som det bedöms föreligga behov av när det gäller sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Detta innebär t.ex. att de begrepp som används i patientdatalagen, t.ex. ”behandling” (av personuppgifter) och ”personuppgifter” har den innebörd som framgår av definitioner i 3 § personuppgiftslagen utan att detta särskilt behöver anges. Även 9 § personuppgiftslagen om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter gäller också då personuppgifter behandlas enligt patientdatalagen. Vi återkommer i det följande till vilka ytterligare bestämmelser i personuppgiftslagen som skall tillämpas vid behandling som regleras i patientdatalagen.

Förhållandet till biobankslagen

I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) regleras hur humanbiologiskt material, med respekt för den enskilda människans integritet, skall få samlas in, förvaras och användas för vissa ändamål.

Med biobank avses i lagen biologiskt material från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd

tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör.

Lagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen gäller också för vävnadsprover från en biobank som inrättats i en vårdgivares hälso- och sjukvårdsverksamhet men som har lämnats ut för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och som även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Lagen är däremot inte tillämplig på prover som rutinmässigt tas i vården för analys och som uteslutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid än cirka två månader. Sparas proverna längre tid är lagen emellertid tillämplig även på dessa prover (prop. 2001/02:44 s. 68 f.).

I biobankslagen regleras även den s.k. PKU-biobanken, vilken innehåller vävnadsprover från nyfödda barn. Regleringen innebär bl.a. att den vårdgivare som regeringen bestämmer (Stockholms läns landsting) får med hjälp av automatiserad behandling eller annan behandling av personuppgifter föra ett särskilt register för screening av prover från nyfödda barn för vissa ämnesomsättningsrubbningar (PKU-registret).

Biobankslagen är subsidiär i förhållande till andra lagar. Bestämmelserna om PKU-registret har dock företräde framför bestämmelser i annan lag (1 kap. 4 §).

I förarbetena till biobankslagen behandlas frågan om vävnadsprover i biobanker och förhållandet till personuppgiftslagen (a. prop. s. 31). Av personuppgiftslagen följer att all information som kan hänföras till en levande individ är personuppgifter. Det som krävs är att en fysisk person kan identifieras med hjälp av informationen. Regeringen gör bedömningen att med den definition av en biobank som anges i lagen – att en biobank utgörs av mänskligt material vars ursprung skall kunna spåras till en viss individ – är en biobank med material från levande personer att anse som personuppgifter enligt personuppgiftslagen.

Regeringen övergår därefter till frågan huruvida själva förvaringen av vävnadsprover i en biobank utgör en sådan delvis automatiserad eller manuell behandling av personuppgifter som regleras i personuppgiftslagen. Vävnadsprover förvaras t.ex. i parafinklossar vilka har ett identifieringsnummer. Övriga uppgifter om provgivarna såsom

personnummer m.m. förvaras i anslutning till vävnadsproverna i register eller patientjournaler. Identifieringsnumret är nödvändigt för att vävnadsproverna skall kunna härledas till personuppgifterna i registren. Mot bakgrund av hur vävnadsprover och patientuppgifter förvaras gör regeringen bedömningen att själva förvaringen av vävnadsproverna i en biobank inte kan anses utgöra en delvis automatiserad behandling. Vidare gör regeringen bedömningen att eftersom det endast finns ett kriterium för sökning (identifieringsnumret) kan vävnadsprover i en biobank inte anses tillgängliga för sökning på ett sådant sätt att vävnadsproverna omfattas av personuppgiftslagens bestämmelser om manuell behandling av personuppgifter.

De personuppgifter om provgivarna som finns i register eller annan form i anslutning till proverna utgör inte en del av biobanken (a. prop. s. 34 f.). För dessa uppgifter gäller i stället bl.a. personuppgiftslagen. Om uppgifterna behandlas i ett vårdregister, gäller även vårdregisterlagens bestämmelser.

Våra förslag innebär att patientdatalagens bestämmelser skall tillämpas vid personuppgiftsbehandling som sker i en vårdgivares hälso- och sjukvårdsverksamhet och som avser personuppgifter som förvaras i anslutning till vävnadsprover i en biobank. När det gäller behandling av personuppgifter i PKU-registret så kommer dock denna alltjämt att regleras av biobankslagen.

Förhållandet till lagen om läkemedelsförteckning

I lagen (2005:258) om läkemedelsförteckning anges att Apoteket AB skall för vissa i lagen angivna ändamål utföra automatiserad behandling av personuppgifter i ett särskilt register över köp av förskrivna läkemedel (läkemedelsförteckning).

Själva registreringen av uppgifter i förteckningen sker utan patientens medgivande. Tillgång till uppgifterna får däremot ges till förskrivare och farmaceut endast efter uttryckligt samtycke från den registrerade. Om samtycke inte kan lämnas, får uppgifterna i förteckningen lämnas ut till förskrivare om det är nödvändigt för att den registrerade skall kunna få vård eller behandling som han eller hon oundgängligen behöver.

Förskrivare av läkemedel får använda förteckningen för att åstadkomma en säker framtida förskrivning av läkemedel för den registrerade och för att bereda den registrerade vård och behandling.

Förskrivare får även använda uppgifterna för att komplettera den registrerades patientjournal. Vidare får förteckningen användas av farmaceut på apotek för att underlätta den kontroll som skall genomföras innan ett läkemedel lämnas ut till den registrerade från apotek. Förteckningen får även användas av de registrerade för att underlätta deras läkemedelsanvändning.

Uppgifterna i läkemedelsförteckningen får lämnas till förskrivare, farmaceut och den registrerade på medium för automatiserad behandling. Förskrivare och farmaceut får ha direktåtkomst till uppgifter i läkemedelsförteckningen. Den registrerade får ha direktåtkomst till uppgifter om sig själv. Utlämnandet av uppgifter i en läkemedelsförteckning till förskrivare inom hälso- och sjukvården skall även fortsättningsvis regleras av lagen av läkemedelsförteckning och alltså inte av patientdatalagen. Den fortsatta behandlingen av uppgifterna inom hälso- och sjukvården kommer däremot att regleras av patientdatalagen.

I 6 § vårdregisterlagen anges att patientens läkemedelsförteckning får hämtas till ett vårdregister genom samkörning. Bestämmelsen reglerar hur (genom samkörning) uppgifterna i patientens läkemedelsförteckning får tillföras patientens journal när det är tillåtet för förskrivaren att ta del av läkemedelsförteckningen. Denna fråga kommer fortsättningsvis att regleras av patientdatalagen (se avsnitt 8.2.4). Frågan om när det är tillåtet att ta del av läkemedelsförteckningen regleras däremot i lagen om läkemedelsförteckning.

Förhållandet till lagen om genetisk integritet m.m.

Lagen (2006:351) om genetisk integritet m.m., som trädde i kraft den 1 juli 2006, är en samlad lag för genetisk undersökning och information inom hälso- och sjukvården och medicinsk forskning samt genterapi m.m. Den reglerar även befruktning utanför kroppen, insemination och kommersialisering av humanbiologiskt material.

När en genetisk undersökning görs på begäran av en enskild eller i samband med en allmän hälsoundersökning är patientjournallagen tillämplig. Sådana undersökningar kommer således att omfattas av patientdatalagens bestämmelser.

Lagen om genetisk integritet m.m. ersätter bl.a. lagen (1984:1140) om insemination och lagen (1988:711) om befruktning utanför kroppen. De tidigare bestämmelserna i 3 § lagen om insemination och 6 § lagen om befruktning utanför kroppen om att uppgifter om

givaren skall antecknas i en särskild journal, som skall bevaras i minst 70 år, har förts över till 6 kap. 4 § respektive 7 kap. 6 § lagen om genetisk integritet m.m. Dessa bestämmelser utgör särregler i förhållande till patientjournallagen och gäller alltså utöver sistnämnda lags grundläggande bestämmelser om journalföring. På motsvarande sätt skall dessa särregler gälla utöver patientdatalagens bestämmelser.

Förhållandet till lagen om blodsäkerhet

Lagen (2006:496) om blodsäkerhet (blodsäkerhetslagen), som trädde i kraft den 1 juli 2006, grundar sig på Europaparlamentets och rådet direktiv 2002/98/EG av den 27 januari 2003 om fastställande av kvalitets- och säkerhetsnormer för insamling, kontroll, framställning, förvaring och distribution av humanblod och blodkomponenter och ändring av direktiv 2001/83/EG.

Lagen är tillämplig på blodverksamhet som bedrivs vid blodcentraler. Med blodverksamhet avses i lagen insamling och kontroll av blod och blodkomponenter avsedda att användas vid transfusion eller läkemedelstillverkning, samt framställning, förvaring och distribution av blod och blodkomponenter när de är avsedda att användas vid transfusion.

Enligt blodsäkerhetslagen skall blodcentraler föra ett register med uppgifter om den verksamhet som bedrivs vid blodcentralen, blodgivare och gjorda kontroller av blod och blodkomponenter. Registret får ha till ändamål endast att göra det möjligt att spåra blod och blodkomponenter och att förhindra att smittat blod och blodkomponenter överförs till människor. Registret får föras med hjälp av automatiserad behandling. Registret får i fråga om personuppgifter innehålla uppgift bara om blodgivares identitet och uppgiven sjukdomshistoria samt uppgift om resultatet av gjorda kontroller av blod och blodkomponenter. Uppgifterna i registret skall gallras 30 år efter införandet.

Insamling, kontroll, framställning, förvaring och distribution av blod och blodkomponenter avsedda att användas vid transfusion är att betrakta som hälso- och sjukvård i den mening som avses i hälso- och sjukvårdslagen. Insamling och kontroll av blod och blodkomponenter avsedda att användas som råvara vid läkemedelstillverkning omfattas också av bestämmelserna i blodsäkerhetslagen. Sådan verksamhet har emellertid inte primärt vård- eller behandlingssyfte och är därför inte att betrakta som hälso- och sjukvård i den mening

som avses i hälso- och sjukvårdslagen (prop. 2005/06:141 s. 29 f.). I fråga om blodsäkerhetslagens förhållande till annan lagstiftning anges i propositionen att i de fall blodverksamhet är att betrakta som hälso- och sjukvård och bestämmelserna i vårdregisterlagen och patientjournallagen är tillämpliga får lagarna tillämpas parallellt (a. prop. s. 51). I dessa fall kommer i stället patientdatalagen att gälla parallellt med blodsäkerhetslagen, dvs. bestämmelserna i båda lagarna blir tillämpliga.

8. Grundläggande bestämmelser om personuppgiftsbehandling

8.1. Inledning

I detta avsnitt behandlas några övergripande frågeställningar och förslag till grundläggande bestämmelser om personuppgiftsbehandling som avses gälla generellt inom patientdatalagens tillämpningsområde vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se avsnitt 7). Tanken är att dessa skall, tillsammans med personuppgiftslagens (1998:204) bestämmelser, formera en yttersta ram för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården.

8.2. Ändamål för personuppgiftsbehandlingen

Våra förslag: I patientdatalagen anges ändamål för vilka personuppgifter får samlas in och även i övrigt behandlas inom hälso- och sjukvården. Ändamålen är följande.

1. patientjournalföring och annan dokumentation som behövs i

och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation),

2. utförande av annan dokumentation som följer av lag, förord-

ning eller annan författning,

3. systematisk och fortlöpande utveckling och säkring av hälso-

och sjukvårdens kvalitet (Kvalitetssäkring),

4. administration, planering, uppföljning, utvärdering och tillsyn

av hälso- och sjukvårdsverksamheten och

5. framställning av statistik rörande hälso- och sjukvård

Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–5 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen (1998:204) för behandling av insamlade personuppgifter för ett nytt ändamål.

Några särskilda bestämmelser om samkörning föreslås inte.

8.2.1. Allmänt om ändamålsbestämning

Bestämning av ändamålen med behandling av personuppgifter är av central betydelse för personuppgiftslagens regelverk till skydd för enskilda registrerades personliga integritet. I 9 § personuppgiftslagen finns bestämmelser om grundläggande krav på behandling av personuppgifter som en personuppgiftsansvarig alltid måste följa. När det gäller ändamål anges i 9 § första stycket att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). De insamlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (punkt d). Denna sistnämnda bestämmelse kallas för finalitetsprincipen. Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade personuppgifterna finns angivna redan då uppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns alltså inte. Enligt 9 § andra stycket personuppgiftslagen skall senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål dock inte anses som oförenliga med de ändamål för vilka uppgifterna samlades in. Med behandling avses i detta sammanhang varje typ av åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 § personuppgiftslagen).

När det gäller registerförfattningar anges oftast uttryckligen för vilka ändamål personuppgifter får behandlas. Det är en omdiskuterad fråga i vad mån ändamålsbestämningar i registerförfattningar skall anses vara uttömmande eller inte, dvs. huruvida andra med ända-

målsbestämningen inte oförenliga ändamål skall anses vara tillåtna eller inte vid sidan av de uttryckliga ändamålen, då det handlar om en behandling av redan insamlade personuppgifter. Framgår det inte av den aktuella registerförfattningen att ändamålsbestämmelsen syftar till att vara uttömmande och personuppgiftslagen gäller utöver den särskilda registerförfattningen torde, enligt vår uppfattning, även andra icke angivna ändamål vara tillåtna, om dessa andra ändamål är förenliga med de i författningen angivna ändamålen eller om det är fråga om behandling för historiska, statistiska eller vetenskapliga ändamål. Detta följer av de nyss nämnda bestämmelserna i 9 § första stycket d och andra stycket personuppgiftslagen. I avsnitt 8.2.3 återkommer vi till frågan om innebörden av rekvisitet ”oförenligt” i bestämmelsen.

Vad gäller i dag?

Lagen (1998:544) om vårdregister (vårdregisterlagen) reglerar personuppgiftsbehandlingen i ett visst slag av personuppgiftssamlingar, vårdregister. Vårdregisterlagens ändamålsreglering är, som berörts i avsnitt 7.3.2, konstruerad så att det finns några primära ändamål som bestämmer vårdregistrens innehåll och huvudsakliga användningsområde samt några sekundära ändamål för vilka de för ett eller flera primära ändamål insamlade uppgifterna också får användas.

Enligt 3 § vårdregisterlagen är de primära ändamålen dokumentation av vården av patienter, sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall samt den ekonomiadministration som föranleds av vård i enskilda fall.

I 4 § vårdregisterlagen anges de sekundära ändamålen vara 1) framställning av statistik, 2) uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet samt 3) uppgiftsutlämnande som föreskrivs i lag eller förordning.

Att vårdregisterlagens ändamålsreglering inte är avsedd att vara helt uttömmande framgår bl.a. av 9 § enligt vilken personuppgifter i vårdregister får lämnas ut på medium för automatiserad behandling – förutom för att användas för primära eller sekundära ändamål enligt 3 och 4 §§ – för forskningsändamål.

Av förarbetena till vårdregisterlagen framgår att lagen inte är avsedd att reglera i vad mån personuppgifter i ett vårdregister över huvud taget får lämnas ut till en extern mottagare. Den frågan avgörs efter en prövning enligt sekretesslagen (1980:100) eller, avseende enskild

vård, lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Vad vårdregisterlagen reglerar är på vilket sätt personuppgifter får lämnas ut (prop. 1997/98:108 s. 77 f. och 88). Det sagda torde innebära att behandling av personuppgifter som finns i ett vårdregister får ske så snart en fråga uppkommer om att lämna ut en uppgift och alldeles oberoende av ändamålet med utlämnandet. Exempelvis kräver normalt redan en sekretessprövning att en personuppgiftsbehandling utförs. Däremot får ett utlämnande inte ske elektroniskt utan bara på t.ex. en papperskopia, om förutsättningarna enligt 9 § vårdregisterlagen inte är uppfyllda.

I vårdgivarnas hälso- och sjukvårdsverksamhet finns vid sidan av vårdregister ett stort antal andra elektroniska register eller andra slags personuppgiftssamlingar. Många har inrättats för ändamål som avses i 4 § vårdregisterlagen, såsom nationella kvalitetsregister eller lokala uppföljningssystem för att ta några exempel. Dessa register omfattas i dag av personuppgiftslagens generella bestämmelser. Så gör även vissa manuellt behandlade patientjournaler, patientkortsystem m.m. så länge som de strukturerats på det sätt som krävs i 5 § personuppgiftslagen. Huruvida elektronisk personuppgiftsbehandling i t.ex. löpande text i ordbehandlingsprogram eller i e-post och liknande, som inte är strukturerad eller kompatibel med något journal- eller patientadministrativt informationssystem, regleras av vårdregisterlagen eller enbart av personuppgiftslagen kan inte besvaras generellt. Vi bedömer emellertid att det kan förekomma en del elektronisk personuppgiftsbehandling som inte regleras av vårdregisterlagen, t.ex. då en läkare kommunicerar via e-post med en patient i ett program som inte särskilt eller huvudsakligen installerats för ändamål som anges i 3 § vårdregisterlagen. Då är det inte helt klart vilken lag som är tillämplig.

Enligt vårdregisterlagen finns vidare inte något hinder mot att lämna ut uppgifter elektroniskt för ändamål som enligt 4 § vårdregisterlagen är sekundära. Hos mottagaren, t.ex. en annan vårdgivare, torde den fortsatta behandlingen av de mottagna personuppgifterna i ett sådant fall inte alls regleras av vårdregisterlagen utan av personuppgiftslagen, eftersom mottagaren inte har vårdregisterlagens primära ändamål som sitt syfte med personuppgiftsbehandlingen. Det kan i sammanhanget noteras att det finns en särskild lättnad i hälso- och sjukvårdssekretessen i 7 kap. 1 c § femte stycket sekretesslagen just för att underlätta personuppgiftsbehandling genom utlämnande för administration och statistikändamål på hälso- och sjukvårdsområdet.

När personuppgiftslagen reglerar personuppgiftsbehandlingen är det – till skillnad från vårdregisterlagen – vårdgivaren som bestämmer alla de ändamål för vilka personuppgifterna skall behandlas. I 18 § första stycket personuppgiftslagen sätts emellertid en ram för det tillåtna när det gäller behandling av känsliga personuppgifter, t.ex. om hälsa, utan patientens eller annan registrerads uttryckliga samtycke. Då måste personuppgiftsbehandlingen, för att vara tillåten, ske för hälso- och sjukvårdsändamål och vara nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Enligt en kommentar till personuppgiftslagen täcker redan 18 § första stycket in i princip all personuppgiftsbehandling som förekommer inom hälso- och sjukvårdsområdet (Öman och Lindblom, Personuppgiftslagen – En kommentar, andra uppl., 2001, s. 148).

Till detta kommer enligt 18 § andra stycket personuppgiftslagen att hälso- och sjukvårdspersonal eller annan som omfattas av tystnadsplikt enligt sekretesslagen eller lagen om yrkesverksamhet på hälso- och sjukvårdens område får behandla känsliga personuppgifter som omfattas av tystnadsplikten. Enligt andra stycket krävs således inte att personuppgiftsbehandlingen skall ske för något i 18 § första stycket angivet ändamål för att vara tillåten utan den registrerades samtycke. Dock måste personuppgiftsbehandlingen vara nödvändig för något av de fall som anges i 10 § a–f personuppgiftslagen. Det sistnämnda gäller för övrigt all personuppgiftsbehandling utan den registrerades samtycke som sker med stöd av personuppgiftslagen.

Parentetiskt kan här nämnas att 18 § andra stycket personuppgiftslagen torde innebära en väsentlig utvidgning i förhållande till det bakomliggande Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) som enligt sina engelsk- och franskspråkiga versioner uppställer krav på tystnadsplikt utöver krav på särskilda ändamål. Enligt dataskyddsdirektivet måste således båda kraven vara uppfyllda i stället för vad som följer av personuppgiftslagen enligt vilken de är alternativa grunder.

8.2.2. Patientdatalagens ändamålsbestämning

Ändamålsbestämningens centrala betydelse för integritetsskyddet har medfört att det redan i dag finns en lagreglering i fråga om den personuppgiftsbehandling som sker i vårdregister. Som framgått i det föregående faller emellertid en hel del av hälso- och sjukvårdens behandling av integritetskänslig information om enskilda patienter utanför vårdregisterlagens tillämpningsområde. Från integritetssynpunkt är det enligt vår uppfattning inte tillfredsställande att det finns ett område där det är vårdgivaren som själv bestämmer för vilka ändamål personuppgiftsbehandling skall utföras. Inte minst gäller det sagda med tanke på att 18 § personuppgiftslagen tillsammans med den lagens övriga bestämmelser ger tämligen vida ramar för aktörer inom hälso- och sjukvården att utan den enskildes samtycke behandla känsliga personuppgifter för olika syften. Principiella skäl talar alltså med styrka för att lagstiftaren i patientdatalagen uttryckligen och så uttömmande som möjligt bestämmer ändamålen för all personuppgiftsbehandling som regleras i lagen, dvs. inte bara, som nu, när det gäller vårdregister. Vi föreslår därför en sådan reglering. Patientdatalagens ändamålsreglering blir därmed uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter skall samlas in i verksamheten, i vart fall inte utan den registrerades samtycke, se nedan i avsnitt 8.5.

Genom en uttrycklig reglering av för vilka ändamål personuppgifter får behandlas i verksamheten åstadkoms vidare en ökad tydlighet i regleringen, nog så viktigt i integritetshänseende. Dagens konstruktion med särreglering bara av viss personuppgiftshantering i vårdregister har, som bl.a. framhålls i våra första tilläggsdirektiv (dir. 2004:95), inneburit en del praktiska tillämpningssvårigheter och osäkerhet vid tolkningen av vårdregisterlagens ändamålsbestämmelser i förhållande till annan personuppgiftsbehandling inom hälso- och sjukvården för olika ändamål samt även, menar vi, i förhållande till 18 § personuppgiftslagen.

Vårt förslag till ändamålsbestämning innebär preciseringar i förhållande till bestämmelsen i 9 § första stycket c personuppgiftslagen. Inom ramen för patientdatalagens tillämpningsområde när det gäller vems personuppgiftsbehandling som regleras, se avsnitt 7.3.2, ersätter patientdatalagen18 § personuppgiftslagen i fråga om behandling av känsliga personuppgifter utan patientens eller annan registrerads uttryckliga samtycke.

Genom förslaget att ge patientdatalagen ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagens tillämpningsområde, har vi, med ett undantag, funnit det olämpligt att dela in ändamålen i primära och sekundära ändamål. Båda slagen av ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet. Som framgått i det föregående finns det i dag ganska stora möjligheter att med stöd av personuppgiftslagen samla in och behandla personuppgifter för ändamål som inte är primära enligt vårdregisterlagens kategorisering. En inskränkning av dagens möjligheter genom att göra vissa ändamål tillåtna enbart om de innebär en efterkommande behandling av redan insamlade personuppgifter, torde kunna medföra tillämpningssvårigheter som riskerar att hämma hälso- och sjukvårdens informationshantering på ett icke önskvärt sätt.

Vi menar vidare att det inte innebär ett försämrat integritetsskydd att även sådana ändamål som i dag faller vid sidan av den individinriktade verksamheten får vara primära. I allt väsentligt kommer det att även framgent handla om en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten. Detta överensstämmer helt med strävandena inom hälso- och sjukvården att förbättra och effektivisera verksamheten bl.a. genom att skapa en ändamålsenlig och enhetlig vårddokumentation som minskar det administrativa merarbetet inom hälso- och sjukvården.

Viktigt för våra överväganden är emellertid att den föreslagna lösningen i förhållande till gällande rätt inte innebär någon utvidgning av för vilka ändamål vårdgivare över huvud taget får behandla personuppgifter utan enskildas samtycke. Skillnaden gentemot gällande rätt är att även personuppgiftsbehandling som sker särskilt för ändamålen övergripande administration, planering, kvalitetssäkring, verksamhetsuppföljning, statistikframställning m.m. regleras i en särlag och inte bara av personuppgiftslagen. Därmed kommer även sådan personuppgiftsbehandling att bli kringgärdad av de ytterligare bestämmelserna i patientdatalagen som vi kommer att föreslå i det följande och som syftar till att ge ett gott integritetsskydd. Härigenom ökar integritetsskyddet i förhållande till vad som i dag gäller. I sammanhanget kan erinras om de stora möjligheter vårdgivare i dag har att utan den enskildes samtycke behandla känsliga personuppgifter med stöd av bestämmelsen i 18 § första respektive andra stycket personuppgiftslagen, se föregående avsnitt.

8.2.3. De särskilda ändamålen

Av personuppgiftslagen (och det bakomliggande dataskyddsdirektivet) följer ett krav på att ändamålen skall vara särskilda. Det ligger emellertid i sakens natur att ändamålsbestämmelser måste formuleras tämligen generellt när det som i detta fall gäller en särlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en så komplex, omfattande och mångskiftande verksamhet som här är i fråga. En detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar på området låter sig knappast göras och riskerar även att hämma utvecklingen av hälso- och sjukvårdens informationsförsörjning. I sammanhanget bör man hålla i åtanke att hälso- och sjukvården är en dynamisk verksamhet som ständigt förändras parallellt med att informationstekniken ständigt utvecklas och genererar nya möjligheter att förbättra verksamheten. Vi bedömer dock att de föreslagna ändamålen uppfyller direktivets krav på att vara särskilda, genom att de ger tillämparen ledning för bedömningen av vilka personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen.

Lagens ändamålsbestämmelser föreslås vara fakultativa i den bemärkelsen att de reglerar vad vårdgivare får göra. Syftet med ändamålsbestämningen är alltså att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av patientdatalagen och personuppgiftslagen. Inom denna ram måste vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av sin personuppgiftsbehandling. Hur stora krav på ändamålsbestämningen som kan ställas går inte att ange generellt. Samma krav kan exempelvis självfallet inte ställas då ett enda gemensamt journal- och patientadministrativt system införs i ett stort landsting som då ett nytt tillfälligt elektroniskt uppföljningsregister inrättas. I det senare fallet måste vårdgivaren bestämma avsevärt mer preciserade ändamål än vad patientdatalagens yttre ram tillåter. Exempelvis bör det i sistnämnt fall uttryckligen bestämmas att registret endast används som underlag för en viss avgränsad uppföljning.

Nedan följer en närmare beskrivning av de ändamål för vilka personuppgifter skall få behandlas enligt våra förslag. I praktiken flyter ändamålen ibland in i varandra; gränsdragningarna är inte skarpa. En och samma behandling av personuppgifter kan vidare ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner.

  • Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall – Vårddokumentation

Den individinriktade patientverksamheten kräver en omfattande hantering av personuppgifter för att fungera ändamålsenligt så att en hög patientsäkerhet, god kvalitet och effektivitet i verksamheten kan upprätthållas. Det är därför en självklarhet att patientdatalagens ändamålsbestämning skall täcka in detta behov.

Att i detalj beskriva vilka olika typer av personuppgiftsbehandlingar och funktioner som behövs i patientverksamheten är emellertid inte möjligt. Grunden för informationshanteringen är visserligen ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal vid vård av patienter. Men att hänvisa till denna dokumentationsskyldighet är långt ifrån tillräckligt för att täcka in behoven av personuppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen.

Noteringar om hälsotillstånd och vårdåtgärder m.m. görs ibland av befattningshavare som inte har en skyldighet att föra patientjournal, t.ex. undersköterskor eller viss ambulanspersonal. Ibland dokumenterar patienten själv, eller en anhörig, uppgifter i elektroniska system som ingår i eller kan kopplas till vårdgivarens elektroniska journalsystem. Något heltäckande svar på huruvida sådan dokumentation formellt sett är en del av patientjournalen eller inte kan inte ges utan torde bero närmast på hur dokumentationen hanteras i stort. Oftast ingår dokumentationen som journalhandlingar i patientjournalen. En hel del personuppgifter kan emellertid behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter, på sätt som kan leda till tveksamheter om huruvida de utgör journalhandlingar eller inte. Även sådan dokumentation som nu nämnts och som faller vid sidan av skyldigheten att föra journal bör omfattas av ett ändamål som rör den individinriktade patientverksamheten alldeles oavsett dess formella status.

När det gäller t.ex. elektroniska patientjournaler handlar därutöver hälso- och sjukvårdens informationsbehov inte bara om själva dokumentationen i journalerna – journalföringen eller journaluppgifterna – utan också om hur uppgifterna skall behandlas i informations-

system för att vara tillgängliga och sökbara på ett ändamålsenligt sätt. Utvecklingen går mot att vårdgivarna introducerar allt bredare elektroniska informationssystem som integrerar patientjournalföring med annan dokumentation och med uppgifter som behövs i administrationen av patientvården m.m. I sådana system finns ibland behov av att sammanställa s.k. patientöversikter vari viss medicinsk basinformation och kontaktuppgifter kan finnas noterad tillsammans med sammanfattande uppgifter om tidigare vårdtillfällen, köplaceringar m.m. Sådana översikter, portaler och liknande är knappast något som omfattas av förpliktelsen att föra patientjournal. Personuppgiftsbehandling av denna typ bör emellertid omfattas av patientdatalagens reglering och det ändamål som avser den individinriktade patientverksamheten.

Såsom framförts redan i vårdregisterlagens förarbeten, är det ofta svårt att i praktiken göra en åtskillnad mellan dokumentation för ändamålet patientadministration och dokumentation för ändamålet patientjournalföring (prop. 1997/98:108 s. 64 f.). Inte heller går det, som nyss sagts, att dra en knivskarp gräns mellan journalföring på grund av en författningsenlig skyldighet och andra anteckningar om hälsotillstånd och vårdåtgärder m.m. Vi menar att detta inte heller är nödvändigt vid ändamålsbestämningen utan att det är mera lämpligt med en formulering för det individinriktade arbetet som kan täcka in samtliga de primära ändamål som i dag finns angivna i 3 § vårdregisterlagen. För enkelhetens skull kallar vi personuppgiftsbehandling för detta ändamål för vårddokumentation.

Tanken är således att ändamålet vårddokumentation i patientdatalagen inte skall innebära någon avvikelse från vad 3 § vårdregisterlagen omfattar när det gäller syftet med personuppgiftsbehandlingen. Det sagda gäller t.ex. innebörden av patientbegreppet samt vårdbegreppet. I förarbetena till vårdregisterlagen anges att med patient ”… avses den enskilde i hans kontakt med hälso- och sjukvården”. Denna innebörd är hämtad från patientjournallagens (1985:562) förarbeten (se prop. 1997/98:108 s. 95 och prop. 1984/85:189 s. 37). Det innebär t.ex. att en blodgivare är patient. Den individinriktade verksamheten kan avse såväl sjukdomsförbyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlingssyfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i samband med hälsoundersökning av personer som söker körkortstill-

stånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av patientdatalagens tillämpningsområde.

En skillnad gentemot vårdregisterlagen är dock att med administration i den för patientdatalagen föreslagna ändamålsbestämmelsen avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall. En av anledningarna till vårdregisterlagens åtskillnad mellan de båda slagen av administration är den lagens användning av begreppet personregister. I hälso- och sjukvården förekommer eller förekom i vart fall vid tiden för vårdregisterlagens införande särskilda personregister avsedda för patientrelaterad ekonomiadministration. Även sistnämnda register ansågs böra regleras av vårdregisterlagen. Den åsyftade ekonomiadministrationen kan avse dels ekonomiska regleringar mellan vårdgivare och patienter, dels olika slags interndebiteringar eller regleringar mellan sjukvårdshuvudmän och privata vårdgivare, faktureringar av externa myndigheter m.fl. (t.ex. Migrationsverket för vård av enskilda asylsökande m.fl.) och liknande ekonomiska mellanhavanden i anledning av utförd vård. Vi menar att en motsvarande åtskillnad mellan ekonomiadministration och patientadministration inte behövs i patientdatalagen och att all patientrelaterad administration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden, bör omfattas av samma ändamål.

Med ändamålet vårddokumentation avses inte bara själva insamlingen och registreringen av personuppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen (se definitionen av personuppgiftsbehandling i 3 § personuppgiftslagen).

  • Utförande av annan dokumentation som följer av lag, förordning eller annan författning

Hälso- och sjukvård är en mångfacetterad sektor som involverar en stor mängd olika slags aktörer, inrättningar och aktiviteter. Detta avspeglas i att det finns en flora av lagar och förordningar samt en mängd föreskrifter och allmänna råd från myndigheter som handlingsdirigerar hälso- och sjukvården på specifika områden. I en del fall ställs särskilda krav på att viss dokumentation i olika slags verksamheter skall ske. I andra fall medför de handlingsdirigerande kraven behov av särskild dokumentation. Mycket av det sagda innefattar behandling av personuppgifter om enskilda patienter som omfattas

av det tidigare nämnda ändamålet vårddokumentation eller av t.ex. ändamålet intern tillsyn eller uppföljning, se nedan. Men det kan också uppstå tveksamheter angående om och i så fall vilket ändamål som är tillämpligt. En heltäckande redovisning av de olika slags specialförfattningar som här avses är inte möjlig att ge. Det sagda får i stället åskådliggöras genom några exempel i det följande.

Enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus åligger det verksamhetschefer på vissa sjukhusenheter att vidta vissa åtgärder. En åtgärd är att ställa som villkor för intagning på sjukhus att patienten går med på kroppsvisitation eller kontroll av försändelser. Vidare får berusningsmedel m.m. omhändertas och förstöras eller försäljas. Den sistnämnda åtgärden torde innefatta myndighetsutövning som skall dokumenteras enligt förvaltningslagens (1986:223) bestämmelser. Även föregående frivillig kroppsvisitation kan behöva dokumenteras i sammanhanget. Enligt vår uppfattning bör dokumentationen och personuppgiftsbehandlingen kunna anses falla in under ändamålet vårddokumentation, men den är ändå ett exempel på att tveksamheter kan uppstå.

Ett annat exempel på dokumentation som faller något vid sidan av ändamålet vårddokumentation är den interna avvikelserapportering som sker till följd av de s.k. Lex Maria-bestämmelserna i 2 kap. 7 § lagen om yrkesverksamhet på hälso- och sjukvårdens område. Bestämmelserna föreskriver att hälso- och sjukvårdspersonal skall rapportera till vårdgivaren om en patient drabbats eller utsatts för risk att drabbas av allvarlig skada eller sjukdom i samband med hälso- och sjukvård. Vidare är vårdgivare enligt Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården ålagda ett ansvar för att det finns ett antal preciserade rutiner för denna avvikelsehantering. Den personuppgiftsbehandling som avvikelsehanteringen föranleder befinner sig enligt vår uppfattning i en gränszon mellan ändamål såsom vårddokumentation respektive kvalitetssäkring samt ändamål som intern tillsyn och uppföljning, se nedan.

Ytterligare ett exempel är den personuppgiftsbehandling som sker på grund av Socialstyrelsens krav på anteckningar som behövs för smittspårning (smittspårningshandlingar) beträffande personer som en patient kan ha smittat, se 5 kap. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2005:23) om smittspårning.

Det finns en rad olika författningar som föreskriver att hälso- och sjukvården skall lämna ut uppgifter till olika myndigheter. Några

exempel på sådana specifika bestämmelser om uppgiftsskyldighet skall här nämnas.

I 2 kap. 11 § lagen om yrkesverksamhet på hälso- och sjukvårdens område regleras hälso- och sjukvårdspersonals skyldighet att på begäran lämna uppgifter till domstolar, polismyndighet, kronofogdemyndigheter, Vägverket m.fl. myndigheter. Enligt 6 kap. 4 § samma lag är vårdgivare skyldig att till Socialstyrelsen anmäla om en patient drabbats av eller utsatts för risk att drabbas av allvarlig skada eller sjukdom (Lex-Maria). En sådan anmälan innebär i allmänhet utlämnande av personuppgifter.

En annan uppgiftsskyldighet slås fast i 14 kap. 1 § socialtjänstlagen (2001:453). Där föreskrivs att både allmän och enskild hälso- och sjukvård samt varje enskild yrkesutövare inom hälso- och sjukvården har en skyldighet att till socialnämnd anmäla om de i sin verksamhet får kännedom om något som kan innebära att en socialnämnd behöver ingripa till ett barns skydd. Uppgiftsskyldigheten omfattar alla uppgifter som kan vara av betydelse för utredning av ett barns behov av skydd. Ytterligare ett exempel på författningsenlig uppgiftsskyldighet är förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande enligt vilken landsting och kommuner är skyldiga att lämna Migrationsverket de uppgifter som behövs för bedömningen av deras rätt till ersättning för hälso- och sjukvård till asylsökande m.fl. utlänningar. Slutligen kan nämnas lagen (1991:2041) om särskild personundersökning i brottmål vari föreskrivs en skyldighet för hälso- och sjukvården att lämna ut sådana uppgifter om en misstänkt som behövs i ett läkarintyg enligt samma lag.

Uppgiftsskyldighet av det slag som här nämnts kräver behandling av personuppgifter för utlämnandeändamål. Såvitt vi kan bedöma rör det sig i allt väsentligt om att uppgifter som redan finns i verksamheten lämnas ut. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Ett exempel är handlingar m.m. som lämnas till Socialstyrelsen i samband med styrelsens tillsyn enligt 6 kap. lagen om yrkesverksamhet på hälso- och sjukvårdens område. I viss mindre utsträckning – t.ex. vid fullgörande av uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen eller enligt 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen – torde det dock vara nödvändigt med en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten skall fullgöras och där man inte

kan tala om en ren ”återanvändning” av för andra ändamål redan insamlade personuppgifter.

De nämnda exemplen visar enligt vår mening att det kan uppstå tveksamheter angående vad som anses falla in under ändamålet individinriktad vårddokumentation eller något annat ändamål som i dag anges i vårdregisterlagen när dokumentationen sker enligt sådana specialförfattningar som här avses. Samtidigt är det fråga om personuppgiftsbehandling som sker av hälso- och sjukvårdspersonal i nära anslutning till det individinriktade patientarbetet. Vi menar därför att det kan behövas ett särskilt ändamål som uttryckligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten. Att ändamålen ibland är överlappande är som tidigare anförts inget problem i detta sammanhang.

Det kan noteras att det av tydlighetsskäl behövs en referens inte bara till dokumentation som följer av lag och förordning utan även till dokumentation som följer av myndighetsföreskrifter. Referensen i patientdatalagens ändamålsbestämmelse innebär givetvis inget bemyndigande för någon myndighet att meddela föreskrifter om dokumentation. Det decentraliserade ansvaret för hälso- och sjukvården har emellertid medfört att det finns en omfattande mängd närmare riktlinjer och föreskrifter från centrala förvaltningsmyndigheter såsom Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet. Dessa myndighetsföreskrifter meddelas med stöd av vidaredelegation i förordning utfärdad av regeringen, vars normgivningskompetens i sin tur härleds till regeringsformen eller lag.

  • Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet – Kvalitetssäkring

Inom hälso- och sjukvården är begreppet kvalitet centralt. Att verksamheten skall vara av god kvalitet uppställs i hälso- och sjukvårdslagen (1982:763) som ett av de grundläggande kraven på all hälso- och sjukvård. Härmed avses bl.a. att vården skall hålla en god personell och materiell standard och ges i enlighet med vetenskap och beprövad erfarenhet (se prop. 1995/96:176 s. 27). Att vårdens resultat skall medföra förbättrad hälsa och hög patienttillfredsställelse är ett annat sätt att uttrycka kärnan i begreppet god vårdkvalitet

I 31 § hälso- och sjukvårdslagen föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande skall utvecklas och säkras. Motsvarande bestämmelser finns även i tandvårdslagen (1985:125). Genom dessa bestämmelser finns det således ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling. I det följande kallas denna verksamhet enbart kvalitetssäkring. Lagregleringen av kravet på kvalitetssäkring infördes år 1997 och innebär, enligt förarbetena, en förpliktelse för vårdgivare, såväl offentliga som privata, att utveckla metoder för att noga följa upp och analysera utvecklingen vad gäller kvalitet och säkerhet (a. prop. s. 53).

I sin tillsynsverksamhet följer Socialstyrelsen upp att hälso- och sjukvården samt tandvården har ändamålsenliga kvalitetssystem för egenkontroll i sin verksamhet. I tidigare nämnda föreskrifter om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården har Socialstyrelsen utfärdat närmare föreskrifter för det systematiska kvalitetssäkringsarbetet.

Kvalitetssäkringsarbete kan ske i många former och med olika metoder. I viss utsträckning kan hälso- och sjukvårdens kvalitet och resultat följas upp och utvärderas utan användning av uppgifter som direkt eller indirekt kan hänföras till en enskild person. Genom att behandla personuppgifter om patienter med användning av modern informationsteknik förbättras dock möjligheterna att bedriva kvalitetssäkringsarbete enormt. Ett särskilt ändamål som tillåter denna behandling bör därför införas i patientdatalagen.

I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring, som ett slags sekundärt ändamål. Men det förekommer också personuppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär användning av vårddokumentation utan handlar om personuppgifter som på olika sätt inhämtas och analyseras i det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen. Som tidigare nämnts utgör det dock inget problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling

sker, t.ex. i den information som patienter får om personuppgiftsbehandlingen.

En speciell form av kvalitetssäkringsarbete där särskild personuppgiftsinsamling inte sällan förekommer är hälso- och sjukvårdens kvalitetsregister. Dessa är elektroniska uppgiftssamlingar som används för jämförelser på olika nivåer av vårdens kvalitet m.m. I avsnitt 16 kommer vi att närmare beröra den form av kvalitetssäkringsarbete som sker gemensamt för mer än en vårdgivare i nationella eller regionala kvalitetsregister. Det kan här noteras att kvalitetssäkring utgör en form av verksamhetsuppföljning som är specialinriktad på kvalitetsfrågor. Verksamhetsuppföljning i stort omfattas av nästa ändamål. Vi har emellertid ansett att kvalitetssäkring bör anges i lagen som ett särskilt ändamål med tanke på den centrala roll som kvalitetssäkringsarbetet kommit att få inom hälso- och sjukvården. Dessutom kommer vi att i det följande föreslå särreglering i patientdatalagen för personuppgiftsbehandling i nationella och regionala kvalitetsregister, se avsnitt 16, vilket gör det lämpligt med kvalitetssäkring som ett särskilt ändamål. Redan här kan emellertid nämnas att vi kommer att föreslå särskilda bestämmelser om ändamål för de nationella och regionala kvalitetsregistren.

  • Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten

Personuppgifter i en verksamhet bör få behandlas för att den personuppgiftsansvarige skall kunna fortlöpande eller vid särskilda tillfällen granska, utvärdera och utveckla sin verksamhet på olika nivåer. Vi föreslår därför ett generellt ändamål som tillåter detta. Som kommer att framgå i det följande avser ändamålet inte alltid bara interna angelägenheter hos en personuppgiftsansvarig, vilket understryker behovet av en särskild ändamålsbestämmelse.

Den individinriktade kärnverksamheten föranleder administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet. I detta arbete behövs inte sällan tillgång till individbaserade personuppgifter som framför allt härrör från verksamhetens vårddokumentation. I personuppgifts-

behandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person, t.ex. utesluts namn, bostadsadress och fullständigt personnummer. Likväl är det fråga om personuppgiftsbehandling.

Ett ytterligare område som alltmer kommit i fokus bl.a. som en följd av InfoVU-projektets arbete, se avsnitt 3.4.2, är kravet på att hälso- och sjukvården skall förbättra verksamhetsuppföljningen. Enligt regeringen bör denna bygga på individuppgifter och kunna beskriva vårdprocesser och verksamheter samt dess resultat (prop. 1999/2000:149 s. 52 f.). De senaste åren har präglats av en ökad medborgarorientering i verksamhetsuppföljningen som syftar till att stärka patienters, allmänhetens samt politiska eller administrativa beslutsfattares tillgång till information om vårdens resultat i olika avseenden. Tidigare var verksamhetsuppföljningen, inklusive kvalitetsregistren, i huvudsak inriktad på producenternas intresse av information om verksamhetens medicinska kvalitet, effektivitet och ekonomiska kostnader eller resultat. Som framgått av det sagda finns det ett påtagligt och enligt vår mening befogat behov av att kunna behandla personuppgifter för att få fram information om hälso- och sjukvårdsverksamheten. I allmänhet är det fullt tillräckligt att bara använda uppgifter från den individbaserade vårddokumentationen, med andra ord uppgifter som samlats in därför att de behövts i den individinriktade hälso- och sjukvården. Men det förekommer också att man följer upp resursanvändningen på individnivå genom att koppla samman vårddokumentation med andra uppgifter, t.ex. genom användning av metoden Kostnad Per Patient (KPP) som beräknar kostnader för olika insatser som utförs. I och med sammankopplingen mellan vårddokumentation och kostnadsinformation blir det fråga om något mer än enbart sekundär användning av redan insamlade personuppgifter.

I detta sammanhang bör noteras att vi använder begreppet verksamhetsuppföljning med en tämligen vidsträckt innebörd. Häri ingår det som i dag anges i 4 § 2 vårdregisterlagen om uppföljning, utvärdering och kvalitetssäkring på verksamhetsområdet. Eftersom kvalitetssäkring redan angetts som ett särskilt ändamål, se ovan, har vi valt att i den nu aktuella ändamålsbestämmelsen enbart använda begreppen uppföljning och utvärdering. I förarbetena till vårdregisterlagen anges att med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i ter-

mer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verksamhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna (prop. 1997/98:108 s. 66). Begreppen har i grunden samma betydelse i patientdatalagen. Det hindrar emellertid inte en mer medborgarorienterad verksamhetsuppföljning i linje med strävandena på senare år. I avsnitt 15 kommer vi att närmare beröra olika former av verksamhetsuppföljning som sker gemensamt för mer än en vårdgivare, främst avseende uppföljning på området vård och omsorg.

Ett annat område som bör få innefatta personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Att kontinuerligt eller på förekommen anledning granska och kontrollera att den egna verksamheten uppfyller samhällets krav och i övrigt bedrivs enligt vårdgivarens riktlinjer ingår i det ansvar som en vårdgivare har för verksamheten. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården ter det sig knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter. Av avsnitt 7.3.2 framgår att den tillsyn som utövas av Socialstyrelsen eller annan statlig myndighet inte avses med detta ändamål.

  • Framställning av statistik rörande hälso- och sjukvård

I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppföljning m.m. därför att det är för dessa ändamål som statistiken skall användas. Särskilt landstingen torde dock framställa statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik bör därför anges som ett särskilt ändamål i patientdatalagen.

  • Uppgiftsutlämnande och finalitetsprincipen

Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Sker det för syften som gäller den utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av ett ändamål som angetts i det föregående. Inte sällan sker utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. Många andra skäl till att uppgifter lämnas ut för mottagarens räkning finns naturligtvis, skäl som inte inryms i de ändamålsbestämmelser som hittills behandlats.

Utöver det utlämnande av personuppgifter som behandlats ovan i anslutning till ändamålet utförande av annan dokumentation som följer av lag, förordning eller annan författning och som sker till följd av sådana särskilt reglerade uppgiftsskyldigheter som avses i 14 kap. 1 § sekretesslagen eller 2 kap. 8–11 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område förekommer givetvis att uppgifter om enskilda lämnas ut till en rad olika organ för en mängd olika syften. Att heltäckande beskriva denna hantering låter sig knappast göras på det stora område som hälso- och sjukvården utgör. I detta fall rör det sig dock, såvitt vi kan bedöma, enbart om utlämnande av personuppgifter som redan finns i verksamheten insamlade för primära ändamål såsom vårddokumentation för att ta det vanligaste exemplet. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.

När det gäller den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 1 kap. 9 § sekretesslagen gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan ske utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Detta följer av principen om grundlags företräde framför vanlig lag och av 8 § personuppgiftslagen som gäller även vid personuppgiftsbehandling enligt patientdatalagen. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs givetvis också att sekretessen inte hindrar ett utlämnande.

Beträffande den allmänna hälso- och sjukvården följer vidare av 15 kap. 5 § sekretesslagen att en myndighet skall på begäran av annan

myndighet lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen. Bestämmelsen i 15 kap. 5 § sekretesslagen nämns i en kommentar till personuppgiftslagen som exempel på en sådan avvikande bestämmelse som gäller före personuppgiftslagen till följd av 2 § personuppgiftslagen (se Öman och Lindblom, Personuppgiftslagen – En kommentar, andra uppl., 2001, s. 45).

Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan hinder av sekretess. I sekretesslagen finns exempelvis bestämmelser i 14 kap. 2 § som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall. Sekretesslagen innehåller vidare bestämmelser om att uppgifter utan hinder av sekretess får lämnas till enskild.

Gemensamt för allt detta uppgiftslämnande är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande; alltså ett annat slags uppgiftslämnande än det som grundar sig på den särskilt reglerade uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen och 2 kap. 8–11 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område. När bestämmelser om sådant annat uppgiftsutlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften skall eller får lämnas ut. Det saknas därför anledning att i en integritetsskyddslagstiftning, som den nu föreslagna, generellt förhindra att personuppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper. Enligt vår uppfattning bör därför patientdatalagen inte hindra sådant uppgiftslämnade som här avses.

Det har, när det gäller personuppgiftsbehandling genom utlämnande, i olika sammanhang uppstått rättslig osäkerhet kring frågan om förhållandet mellan ändamålsbestämmelser i registerlagar, personuppgiftslagens finalitetsprincip, sekretesslagen och andra bestämmelser som påbjuder utlämnande eller tillåter att uppgifter lämnas ut utan hinder av sekretess. Förhållandet har bl.a. uppmärksammats av Offentlighets- och sekretesskommittén (OSEK) som i sitt huvudbetänkande med förslag till ny sekretesslag förordat ett klargörande

av rättsläget (SOU 2003:99 s. 230). För att undanröja motsvarande osäkerhet på hälso- och sjukvårdens område bör det i patientdatalagen finnas med en ändamålsbestämmelse som medger att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse föreslås således.

Vidare föreslås, i samma klargörande syfte, en uttrycklig hänvisning till finalitetsprincipens giltighet även vid personuppgiftsbehandling enligt patientdatalagen. Härigenom tydliggörs att patientdatalagens ändamålsreglering inte är helt uttömmande. Som sagts i förra avsnittet går det inte – på det stora tillämpningsområde som patientdatalagen kommer att ha – att helt överblicka alla de ändamål som redan insamlade personuppgifter kan komma att användas för. Genom hänvisningen till finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen, framgår att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än de som uttryckligen anges i patientdatalagen, om de nya ändamålen är förenliga med de tidigare ändamålen. Att eventuella nytillkomna ändamål inte får vara oförenliga med de i lagen angivna ändamålen ger enligt vår mening, tillsammans med bestämmelser om sekretess och tystnadsplikt, ett tillfredsställande integritetsskydd. I sammanhanget kan noteras att en motsvarande hänvisning till finalitetsprincipen finns i lagen (2003:763) om personuppgiftsbehandling inom socialförsäkringens administration.

Det finns alltså ett visst, begränsat utrymme att behandla personuppgifter för ett nytt ändamål som inte angetts vid insamlingen, nämligen om det nya ändamålet inte är oförenligt med de ursprungliga ändamålen. Datalagskommittén har i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 351) uttalat att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen eller Datainspektionen kan utfärda. Någon utvecklad praxis eller närmare föreskrifter i denna fråga finns emellertid inte ännu.

Vad som kan anses förenligt med ett ursprungligt ändamål har diskuterats i tidigare lagstiftningsärenden av främst Socialdatautredningen i dess betänkande Behandling av personuppgifter inom socialtjänsten (SOU 1999:109 s. 160). Enligt Socialdatautredningen bör man vid denna “oförenlighetsprövning” hypotetiskt utgå från hur en registrerad typiskt sett – inte den registrerade i det enskilda fallet – skulle se på saken. Kommer man vid en sådan bedömning fram

till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet.

Insamlade personuppgifter får också behandlas för historiska, statistiska eller vetenskapliga ändamål; det följer av finalitetsprincipen. Behandling för forskningsändamål av tidigare insamlade personuppgifter får således ske enligt patientdatalagen utan att det behöver anges som ett särskilt ändamål. I avsnitt 17 återkommer vi till frågor om användning av personuppgifter, som behandlas enligt patientdatalagen, i medicinsk forskning och annan forskning inom hälso- och sjukvården. Där kommer bl.a. framgå att det krävs ytterligare förutsättningar för att personuppgiftsbehandling för forskningsändamål skall vara tillåten, t.ex. patientens uttryckliga samtycke eller etikprövning.

8.2.4. Samkörning m.m.

I 6 § vårdregisterlagen finns en bestämmelse om samkörning. Enligt bestämmelsen får uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården hämtas till ett vårdregister genom samkörning. Dessutom får patientens läkemedelsförteckning, som förs enligt lagen (2005:258) om läkemedelsförteckning, samt uppgifter om patientens folkbokföringsadress hämtas till ett vårdregister genom samkörning. När en förskrivare med direktåtkomst till uppgifter i Apoteket AB:s läkemedelsförteckning hämtar hem uppgifter från förteckningen för att komplettera patientens elektroniska journal, är det alltså fråga om en samkörning. Vid samkörning med ett vårdregister som förs av en annan vårdgivare måste självklart även bestämmelserna om sekretess och tystnadsplikt i sekretesslagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område iakttas.

Vilka förfaranden som omfattas av begreppet samkörning är inte preciserat i lagstiftningen. Samkörning anges i 3 § personuppgiftslagen som ett av flera exempel på åtgärd som enligt den lagen är att anse som personuppgiftsbehandling. I vissa andra lagar, t.ex. i 5 § lagen (1996:1156) om receptregister, används begreppet sambearbetning.

Innebörden av de båda begreppen beskrivs i propositionen Behandling av personuppgifter inom socialförsäkringens administration (prop. 2002/03:135) enligt det följande (s. 58 f.).

Med sambearbetning (ofta används begreppet samkörning som synonymt med sambearbetning) avses maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig. Även annan direkt överföring av uppgifter från ett personregister till ett annat omfattas av bestämmelsen. Ett enklare sätt att uttrycka saken är att med sambearbetning avses att ett personregister tillförs personuppgifter från andra personregister (se Datalagen med kommentarer, Claes Kring och Sten Wahlqvist, Norstedts, 1989, s. 20 och 76).

Det bör noteras i sammanhanget att begreppen samkörning och sambearbetning närmast knyter an till den nu upphävda datalagens (1973:289) struktur för reglering av integritetsskyddet. Som huvudregel krävdes enligt datalagen tillstånd från Datainspektionen, författningsstöd eller den enskildes samtycke till samkörning av olika personregister. Personuppgiftslagen, som ersatt datalagen, innehåller däremot inte några särskilda bestämmelser om sambearbetning av personuppgifter från olika register eller databaser. En sådan personuppgiftsbehandling särskiljs alltså inte från annan behandling.

Enligt personuppgiftslagen är en sambearbetning tillåten så länge den håller sig inom personuppgiftslagens ramar, bl.a. med avseende på att sambearbetningen inte sker för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Finalitetsprincipen i 9 § första stycket d personuppgiftslagen kan alltså sägas ha ersatt särskilda bestämmelser om sambearbetning. Detta har haft till följd att sådana bestämmelser inte ansetts motiverade i nyare lagstiftning, t.ex. i lagen om behandling av personuppgifter inom socialförsäkringens administration eller lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Båda de nämnda lagarna saknar motsvarigheter till sina föregående registerlagars bestämmelser om sambearbetning.

Ibland har det dock ansetts befogat med sådana bestämmelser även i registerlagstiftning som är anpassad till personuppgiftslagens reglering. I 10 och 21 §§ förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten finns bestämmelser som förbjuder hem som drivs av Statens institutionsstyrelse att hämta personuppgifter från ett annat sådant hem genom samkörning. Motsvarande förbud mot samkörning finns när det gäller boende, en öppen verksamhet eller annan enhet i privat verksamhet. Någon begränsning

när det gäller annan samkörning eller samkörning över huvud taget inom kommunal socialtjänst finns inte.

Vårdregisterlagens bestämmelse om samkörning är inte formulerad som ett förbud mot viss samkörning eller mot annan samkörning än den i lagen angivna. Huruvida all annan samkörning är förbjuden eller inte är en tolkningsfråga.

Vår bedömning

När det gäller hälso- och sjukvård torde det inte sällan finnas behov av att samköra personuppgifter i olika register eller datasystem. Det saknas enligt vår mening anledning att befara att behandling i form av samkörning av uppgiftssamlingar kommer att ske för ändamål som inte anges i patientdatalagen eller är oförenliga med dessa ändamål. I stället framstår möjligheten till samkörning som en rimlig metod att höja effektiviteten och patientsäkerheten inom hälso- och sjukvården. Samkörning kommer dock bara att vara tillåten inom de ramar som ges av patientdatalagen samt sekretesslagen respektive bestämmelserna om tystnadsplikt i lagen om yrkesverksamhet på hälso- och sjukvårdens område. Sammantaget finns det enligt vår mening inte skäl att införa någon särbestämmelse i patientdatalagen som förbjuder eller annars begränsar möjligheterna att samköra eller sambearbeta personuppgifter som finns inom verksamheten. Inte heller i övrigt ser vi anledning att införa några begränsningar när det gäller sättet att samla in uppgifter i verksamhet som omfattas av patientdatalagens tillämpningsområde. Får uppgifter behandlas i verksamheten genom att samlas in för något eller några primära ändamål, får insamlandet ske i elektronisk form. Vi lämnar alltså inte något förslag i dessa avseenden.

8.3. Personuppgiftsansvar

Vårt förslag: I patientdatalagen införs en bestämmelse som anger att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Med vårdgivare avses även statliga myndigheter som bedriver hälso- och sjukvård. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Enligt definitionen i 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Av definitionen följer att personuppgiftsansvaret kan delas eller vara gemensamt för flera.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (2327 §§personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).

I lag eller förordning kan bestämmas vem som är personuppgiftsansvarig. En sådan bestämmelse tar nämligen över regleringen i personuppgiftslagen (2 § personuppgiftslagen). I s.k. registerförfattningar om personuppgiftsbehandling i olika slags verksamheter har det ofta ansetts lämpligt från integritetssynpunkt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling som regleras i de särskilda lagarna. Ibland har detta också ansetts nödvändigt med tanke på att ändamålen anges i lagen i stället för att bestämmas av den ifrågavarande myndigheten, bolaget eller liknande. Som exempel på registerförfattningar vari personuppgiftsansvaret anges kan nämnas bl.a. lagen (1998:543) om hälsodataregister, lagen om behandling av personuppgifter i socialförsäkringens administration och lagen om läkemedelsförteckning.

När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. I stället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjukvården är vårdgivaren – t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjukvårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är person-

uppgiftsansvarig för den personuppgiftsbehandling som sker hos vårdgivaren.

I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för personuppgiftsbehandlingen, förutsatt att organet är så självständigt att det är en förvaltningsmyndighet. I flertalet registerförfattningar på det statliga och det kommunala området som reglerar personuppgiftsansvaret – se t.ex. 11 § förordningen om behandling av personuppgifter inom socialtjänsten – har myndigheter i stället för den juridiska personen staten eller kommunen pekats ut som personuppgiftsansvarig.

Vi menar att det är den mest lämpliga ordningen att personuppgiftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå. Därmed uppnås en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt tryckfrihetsförordningen, sekretesslagen och arkivlagen (1990:782).

Vilka myndigheter i landsting eller kommuner som är personuppgiftsansvariga för personuppgiftsbehandling i landstings eller kommuners hälso- och sjukvård kan inte anges generellt utan beror framför allt på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive landsting eller kommun, se 10 och 18 §§hälso- och sjukvårdslagen samt 11 § tandvårdslagen. I en kommun kan exempelvis självständiga distriktsnämnder var och en ansvara för verksamheten i sitt distrikt. Ansvaret kan vidare vara uppdelat mellan beställar- och utförarnämnder. Verksamhetsansvaret kan också vara samlat under en enda nämnd t.ex. en landstingsstyrelse. Även en gemensam nämnd enligt 3 kap. 3 a § kommunallagen (1991:900) eller lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet kan i princip vara personuppgiftsansvarig (prop. 1996/97:105 s. 59). Drivs verksamheten i ett sådant primär- eller landstingskommunalt aktiebolag, handelsbolag eller sådan ekonomisk förening eller stiftelse som avses i 1 kap. 9 § sekretesslagen, är det den juridiska personen – dvs. bolaget, föreningen eller stiftelsen – som är personuppgiftsansvarig. En statlig myndighet som bedriver viss hälso- och sjukvårdsverksamhet vid sidan av sin huvudsakliga verksamhet kan förstås också vara personuppgiftsansvarig, t.ex. Kriminalvården eller Statens institutionsstyrelse.

Väsentligt för alla de nämnda organen är att det inte är någon anställd eller personlig företrädare för vårdgivaren eller myndigheten som är personuppgiftsansvarig; ansvaret har organet som sådant. Detsamma gäller även om organet (myndigheten eller den privata

vårdgivaren) bedriver verksamhet i flera skilda vårdinrättningar eller liknande fristående enheter.

I och med att ramen för tillåten personuppgiftsbehandling sätts av lagstiftaren genom ändamålsbestämningen i stället för att de övergripande ändamålen bestäms av vårdgivaren, se avsnitt 8.2, kan man hävda att det finns ett behov av en generell och uttrycklig bestämmelse om vem som skall vara personuppgiftsansvarig vid behandling av personuppgifter (och uppgifter om avlidna) enligt patientdatalagen. De av oss föreslagna ändamålen skall emellertid ses som övergripande ramar. Inom dessa ramar har varje vårdgivare stora möjligheter och krav på sig att närmare precisera eller inskränka ändamålen för olika slags personuppgiftsbehandlingar som sker i den egna verksamheten. Förhållandena är alltså inte helt desamma som när det gäller t.ex. hälsodataregistren beträffande vilka regeringen detaljreglerat varje hälsodataregisters användningsområde och innehåll.

Ett skäl att ändå föreslå en uttrycklig bestämmelse är att det i vårt arbete framkommit att det inom hälso- och sjukvården finns en relativt utbredd osäkerhet om hur det förhåller sig med personuppgiftsansvar för främst vissa typer av personuppgiftsbehandlingar som inte faller in under vårdregisterlagens tillämpningsområde. Exempelvis förekommer i informationsblanketter till patienter att en person, t.ex. en verksamhetschef, ibland anges vara personuppgiftsansvarig för vissa personuppgiftsbehandlingar i en verksamhet trots att verksamheten som sådan helt klart faller under vårdgivarens formella ansvar. Genom en uttrycklig bestämmelse om vem som skall vara personuppgiftsansvarig vid behandling av personuppgifter kan man i framtiden undvika dylika oklarheter och missförstånd. Vi föreslår därför en sådan bestämmelse.

Enligt den föreslagna bestämmelsen skall en vårdgivare vara personuppgiftsansvarig för den behandling av personuppgifter som den utför. Med detta menas den personuppgiftsbehandling som sker inom ramen för vårdgivarens verksamhet och som vårdgivaren ansvarar för. I avsnitt 7.3.2 har vi föreslagit att begreppet vårdgivare definieras i lagen. Genom definitionen klargörs bl.a. att med begreppet vårdgivare avses inte den enskilde yrkesutövaren utan den juridiska eller fysiska person som bedriver och ansvarar för hälso- och sjukvårdsverksamheten. Häri ingår bl.a. sådana kommunala företag som avses i 1 kap 9 § sekretesslagen. Vidare har vi föreslagit att det klargörs i definitionen att med en vårdgivare i den statliga vården avses i patientdatalagen inte den juridiska personen staten utan den statliga myndighet som bedriver hälso- och sjukvården. På övriga nivåer är

det dock de juridiska personerna, landstingen och kommunerna, som är vårdgivare. Som framgått ovan anser vi emellertid att personuppgiftsansvaret bör förläggas på myndighetsnivå. Vi föreslår därför att i landsting och kommuner skall den myndighet som utför en personuppgiftsbehandling vara personuppgiftsansvarig för den.

På några områden, då personuppgiftsbehandling sker gemensamt eller för flera vårdgivares gemensamma räkning vid s.k. sammanhållen journalföring och i nationella eller regionala kvalitetsregister, återkommer vi till frågor om personuppgiftsansvar, se avsnitt 11.6 och 16.4.3.

8.4. Personuppgifter som får behandlas

Vårt förslag: Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs, får behandlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även inom privata vårdgivares verksamhet. I övrigt föreslås inga särbestämmelser om speciella personuppgiftskategorier.

Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Som tidigare framgått behandlas en mycket stor mängd personuppgifter av alla slag inom patientdatalagens tillämpningsområde. Behoven skiftar givetvis i hög grad beroende på en mängd olika förhållanden, såsom t.ex. vad det är för slags hälso- och sjukvård som bedrivs och hur omfattande vårdgivarens verksamhet är. Att närmare specificera vilka personuppgifter som generellt får behandlas i verksamheten ter sig mindre lämpligt.

Vi föreslår således inga bestämmelser som konkret anger vilka personuppgifter som får eller inte får behandlas enligt patientdatalagen. I stället föreslås att ändamålsbestämningen skall styra över vilka personuppgifter som får samlas in och fortsättningsvis behandlas. Alla personuppgifter som behövs för det ändamål för vilket en behandling utförs får därmed behandlas. Det gäller även sådana personuppgiftskategorier som särregleras i personuppgiftslagen, dvs. känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). Vi bedömer nämligen att det skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av IT inom hälso- och sjukvården att föreskriva

särskilda förutsättningar för att få behandla dessa slags personuppgiftskategorier. Den föreslagna ordningen är, menar vi, godtagbar från integritetssynpunkt, inte minst mot bakgrund av att de integritetskänsliga uppgifterna kringgärdas av en sträng sekretess som är ägnad att förhindra obehörig insyn och spridning.

Det bör noteras att personuppgiftslagens grundläggande krav på att personuppgifterna skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas skall vara riktiga och, om nödvändigt, aktuella gäller även vid behandling enligt patientdatalagen (9 § e–g personuppgiftslagen). Ovidkommande eller onödigt många personuppgifter i förhållande till ändamålen får alltså inte behandlas. Dessa krav innebär en såväl kvalitativ som kvantitativ begränsning i fråga om vilka personuppgifter som får behandlas. Kan en arbetsuppgift inom hälso- och sjukvården utföras på ett tillfredsställande sätt även om en personuppgift utelämnas, t.ex. personnummer, eller avidentifieras, är kraven enligt patientdatalagen och 9 § e och f personuppgiftslagen inte uppfyllda; personuppgiften behövs inte. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering skall personuppgiften behövas för ändamålet med just den senare hanteringen. Det sagda innebär t.ex. att även om en uppgift om en patients namn eller fullständiga personnummer behövs för ändamålet vårddokumentation, så kanske just dessa uppgifter inte behövs vid en senare behandling för ett annat ändamål.

Beträffande en personuppgiftskategori föreslår vi dock en uttrycklig bestämmelse i patientdatalagen, nämligen i fråga om personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Enligt 21 § personuppgiftslagen får bara myndigheter behandla sådana uppgifter. Det sagda gäller även om en enskild registrerad skulle samtycka till att annan än myndighet behandlar uppgiften.

Hos privata vårdgivare måste en journalförare kunna notera t.ex. att en patient, som vårdas för sitt alkoholmissbruk, har dömts för rattfylleri. Det kan vidare vara viktigt för privata vårdgivare att för olika ändamål kunna behandla en personuppgift om att en patient tvångsvårdats med stöd av särskild lagstiftning eller omfattas av ett beslut om förvar enligt utlänningslagen (2005:716) etc. Så torde anses gälla redan nu i fråga om vårdregister hos privata vårdgivare.

Vi menar emellertid att lagstiftningen vinner i tydlighet med ett klargörande i fråga om vad som gäller för just denna personuppgiftskategori.

I avsnitt 10.4.4 och i avsnitt 16.4.4 återkommer vi till frågor om vilka personuppgifter som får behandlas när det gäller vissa specifika uppgiftssamlingar, nämligen patientjournaler och kvalitetsregister.

8.5. Den enskildes inställning till personuppgiftsbehandlingen

Våra förslag: I patientdatalagen förtydligas att personuppgiftsbehandling enligt lagen får ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Vissa undantag följer av patientdatalagen.

Vidare föreskrivs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde registrerade uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning. Ett undantag följer av patientdatalagen, se avsnitt 11.3.6. Vidare föreslås att regeringen får meddela ytterligare undantag.

8.5.1. Inledning

Både i personuppgiftslagen och i dataskyddsdirektivet – som Sverige genom sitt medlemskap i EU är förpliktat att rätta sig efter – tillmäts den enskilde registrerades inställning till personuppgiftsbehandling som regel en central och avgörande betydelse. Båda regelverken innehåller bestämmelser som berör frågor om verkan av att den enskilde registrerade dels samtycker till, dels motsätter sig en personuppgiftsbehandling. Vårdregisterlagen saknar uttryckliga bestämmelser i dessa frågor.

Under vårt arbete har det i olika sammanhang framförts från aktörer inom hälso- och sjukvården att avsaknaden av tydliga bestämmelser i vårdregisterlagen leder till en hel del osäkerhet i den parallella tillämpningen av vårdregisterlagen och personuppgiftslagen. Den sistnämnda lagen gäller i den mån vårdregisterlagen saknar särbestämmelser. Särskilt osäker är man i fråga om vilket utrymme

som finns att behandla personuppgifter med den enskilde registrerades uttryckliga samtycke till personuppgiftsbehandlingen.

En reglering av förutsättningarna för personuppgiftsbehandling inom hälso- och sjukvården bör, menar vi, så långt möjligt vara klargörande i fråga om vad som gäller i dessa avseenden. Efter en redogörelse för den nuvarande regleringen, redovisar vi vår analys av gällande rätt och våra överväganden om hur frågeställningarna bör behandlas i patientdatalagen. Redan här kan framhållas att det inte finns något hinder mot att lämna förslag till bestämmelser som avviker från personuppgiftslagen, så länge som förslagen är förenliga med dataskyddsdirektivet. Det följer bl.a. av den uttryckliga bestämmelsen i 2 § personuppgiftslagen om att avvikande bestämmelser i annan lag eller förordning gäller före personuppgiftslagen.

8.5.2. Vad gäller i dag?

Personuppgiftslagen

Behandling av personuppgifter är enligt personuppgiftslagen tillåten, om den enskilde registrerade har lämnat sitt samtycke till behandlingen (10 § personuppgiftslagen). Samtycke definieras i 3 § personuppgiftslagen såsom ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne”. Kravet på att samtycket skall vara särskilt innebär t.ex. att en registrerad inte kan lämna ett giltigt generellt samtycke till personuppgiftsbehandling som inte är preciserad till något eller några ändamål. Dessutom krävs att den registrerade först har informerats om behandlingen. Att samtycket skall vara en otvetydig viljeyttring anses innebära att det inte får råda någon tvekan om att den registrerade godtar personuppgiftsbehandlingen. Datalagskommittén framhöll angående detta rekvisit att s.k. hypotetiskt samtycke inte kan godtas hur välgrundad gissningen (hypotesen) än är (SOU 1997:39 s. 342). Inte heller kan en registrerad som inte utnyttjar en rätt att motsätta sig en personuppgiftsbehandling anses ha genom sin passivitet samtyckt till behandlingen. Däremot torde s.k. konkludent handlande kunna grunda ett giltigt samtycke enligt personuppgiftslagen (se bl.a. bet. 2000/01:KU19 s. 19). Konkludent handlande kan t.ex. innebära att en registrerad lämnar efterfrågade personuppgifter efter att ha fått information om den tilltänkta behandlingen och om att

uppgiftslämnandet är frivilligt. Om personuppgiftslagens krav på samtyckets utformning är uppfyllt, följer det av personuppgiftslagens huvudregel i 10 § att personuppgiftsbehandlingen är tillåten.

Även känsliga personuppgifter får behandlas med den enskilde registrerades samtycke till personuppgiftsbehandlingen. Samtycket skall dock vara uttryckligt. (15 § personuppgiftslagen). I annat fall gäller det generella förbudet i 13 § personuppgiftslagen mot att behandla känsliga personuppgifter. Att samtycket skall vara uttryckligt innebär dock inget krav på att det skall vara skriftligt eller att det skall dokumenteras. Muntligt samtycke är tillräckligt. Huruvida konkludent handlande i vissa fall kan anses utgöra ett uttryckligt samtycke är en omdiskuterad fråga. Enligt uppgift från Datainspektionen accepteras konkludent samtycke av inspektionen då en enskild, efter att ha fått tydlig information om personuppgiftsbehandlingen, frivilligt lämnar känsliga personuppgifter i enkätsvar.

När det gäller övriga personuppgiftskategorier kan nämnas att samtycke utan vidare gör behandling av personnummer eller överföring av personuppgifter till land utanför EU eller EES, dvs. till tredje land, tillåten (22 § respektive 34 § personuppgiftslagen). Undantag för samtycke finns dock inte från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § personuppgiftslagen).

Återkallar den registrerade ett lämnat samtycke, får ytterligare personuppgifter om denne inte behandlas såvida inte någon annan bestämmelse som tillåter behandlingen är tillämplig. Behandlingen av redan insamlade uppgifter får trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket (12 § första stycket personuppgiftslagen).

Som redan framgått av tidigare avsnitt finns emellertid tämligen stora möjligheter att även utan samtycke behandla personuppgifter inom hälso- och sjukvården. Flera av de rekvisit som gör personuppgiftsbehandling utan samtycke tillåten enligt 10 § personuppgiftslagen är ofta för handen, t.ex. punkten b) att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet (patientjournalföring) eller punkten d) att en arbetsuppgift av allmänt intresse skall kunna utföras. När det gäller känsliga personuppgifter följer dessutom av 18 § första stycket personuppgiftslagen att sådana uppgifter får behandlas utan den registrerades samtycke för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av

hälso- och sjukvård. Enligt andra stycket samma paragraf gäller dessutom att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga uppgifter från verksamhet inom hälso- och sjukvården.

I de fall personuppgiftslagen tillåter personuppgiftsbehandling utan den registrerades samtycke, har den registrerade ingen rätt att med rättslig verkan motsätta sig personuppgiftsbehandlingen. Det följer av 12 § andra stycket personuppgiftslagen.

Dataskyddsdirektivet

Personuppgiftslagen är den lag varigenom dataskyddsdirektivet genomförts i vår nationella lagstiftning. I allt väsentligt överensstämmer således regleringen i dataskyddsdirektivet med den nyss redovisade regleringen i personuppgiftslagen, bl.a. när det gäller verkan av att en enskild registrerad samtycker till en personuppgiftsbehandling, kraven på samtyckets utformning samt utrymmet till personuppgiftsbehandling utan den registrerades samtycke. Några bestämmelser i dataskyddsdirektivet har emellertid inte sin direkta motsvarighet i personuppgiftslagen. De bestämmelser som är av särskilt intresse i detta sammanhang är främst de som återfinns i direktivets artikel 8.2 a och artikel 14 a.

I artikel 8.2 a föreskrivs i princip detsamma som i 15 § personuppgiftslagen, nämligen att det generella förbudet mot att behandla känsliga personuppgifter inte gäller om den registrerade uttryckligen samtycker till personuppgiftsbehandlingen. Enligt artikeln får dock medlemsstater i sin nationella lagstiftning föreskriva att förbudet mot att behandla känsliga personuppgifter inte kan upphävas genom den registrerades samtycke.

Enligt artikel 14 a i dataskyddsdirektivet skall den registrerade tillförsäkras rätten att – i vart fall då personuppgifter får behandlas utan samtycke därför att en arbetsuppgift av allmänt intresse skall kunna utföras eller i samband med myndighetsutövning eller efter en intresseavvägning (artikel 7 e och f, jämför 10 § d–f personuppgiftslagen) – ”när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som

påbörjats av den registeransvarige inte längre avse dessa uppgifter”. Genom den tidigare berörda bestämmelsen i 12 § andra stycket personuppgiftslagen har registrerade uttryckligen fråntagits denna rätt såvitt gäller personuppgiftsbehandling med stöd av personuppgiftslagen. Den enskilde kan alltså inte med rättslig verkan motsätta sig personuppgiftsbehandling som är tillåten enligt personuppgiftslagen, t.ex. i fråga om hälso- och sjukvårdens behandling av känsliga personuppgifter utan den registrerades samtycke med stöd av 18 § och 10 §personuppgiftslagen.

Vårdregisterlagen

Vårdregister får föras oberoende av patientens inställning till personuppgiftsbehandlingen. Den enskilde registrerades samtycke till personuppgiftsbehandlingen krävs alltså inte. Något uttryckligt klargörande av detta förhållande finns dock inte i vårdregisterlagen. Det anses följa av lagens bestämmelser om förutsättningarna för att behandla personuppgifter i vårdregister. Regeringen uttalade i lagens förarbeten att en enskilds samtycke inte krävs för att personuppgifter skall få registreras i ett vårdregister. Vidare angavs att den enskilde inte heller skall ha rätt att få uppgifter strukna ur ett vårdregister (se prop. 1997/98:108 s. 82 f.).

Uttalandena ger vid handen att avsikten varit att den enskilde inte med rättslig verkan skall kunna motsätta sig någon personuppgiftsbehandling enligt vårdregisterlagen, inte heller t.ex. att uppgifter i elektroniska journaler används för ändamålet uppföljning eller övergripande administration.

Man kan fråga sig om det har någon rättslig betydelse att vårdregisterlagen saknar en uttrycklig reglering om att den enskilde inte med rättslig verkan kan motsätta sig personuppgiftsbehandling enligt vårdregisterlagen. Möjligen kan redan lagens ordalydelse anses – mot bakgrund av förarbetsuttalandena – innebära att den enskilde inte har någon sådan rätt.

8.5.3. Våra överväganden

Vad skall gälla om den enskilde motsätter sig personuppgiftsbehandlingen?

Lagrådet har i några lagstiftningsärenden rörande särlagar för myndigheters behandling av personuppgifter förordat att bestämmelser intas i lagarna som uttryckligen anger att den registrerade inte har rätt att motsätta sig personuppgiftsbehandlingen enligt särlagarna, se t.ex. prop. 2000/01:33 s. 346 och lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet eller lagen om behandling av personuppgifter inom socialförsäkringens administration. Lagrådet, och senare även regeringen, har därvid åberopat ett behov av en uttrycklig reglering mot bakgrund av vad artikel 14 a i dataskyddsdirektivet föreskriver om att den enskilde åtminstone i vissa fall skall garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning, se ovan.

I de fall sådana bestämmelser finns i särlagar kan det emellertid noteras att dessa särlagar avviker från personuppgiftslagen genom att tillåta ytterligare möjligheter att utan samtycke behandla personuppgifter, t.ex. känsliga sådana, än vad som ges i personuppgiftslagen. Så är enligt vår bedömning inte fallet när det gäller personuppgiftsbehandling enligt vårdregisterlagen vid en jämförelse med vad 10, 18 och 22 §§personuppgiftslagen möjliggör på hälso- och sjukvårdens område. Förhållandet på vårdregisterlagens tillämpningsområde avviker alltså från de nämnda särlagarna. Eftersom personuppgiftslagen gäller i den mån vårdregisterlagen saknar bestämmelser, torde det sagda innebära att bestämmelsen i 12 § andra stycket personuppgiftslagen – om att den enskilde inte har rätt att motsätta sig en personuppgiftsbehandling som är tillåten enligt personuppgiftslagen – gälla också vid personuppgiftsbehandling enligt vårdregisterlagen. Klart utläsbart hur det förhåller sig med denna sak är det förvisso inte, vilket är otillfredsställande från såväl lagteknisk som integritetsmässig synpunkt.

Enligt vår uppfattning bör lagtexten vara klargörande på denna punkt. Vi föreslår därför en uttrycklig bestämmelse i patientdatalagen som anger att personuppgiftsbehandling, som är tillåten enligt lagen, som huvudregel får utföras även om den enskilde registrerade motsätter sig den. I det följande kommer vi emellertid att föreslå att patienter i vissa fall skall kunna motsätta sig en personuppgiftsbehandling eller att ett samtycke krävs. Detta bör framgå redan i

patientdatalagens grundläggande bestämmelser om personuppgiftsbehandling.

Regleringen av hälso- och sjukvårdens verksamhet är omfattande och komplex. Det kan därför inte uteslutas att bestämmelser i annan lag eller förordning direkt eller indirekt ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av patientdatalagen. Även sådana bestämmelser bör gälla före patientdatalagens huvudregel. En sådan bestämmelse är förordningen (1986:198) om provtagning för infektion av HIV enligt vilken en patient kan begära att få vara anonym vid provtagning. I sådant fall gäller ingen skyldighet att föra in uppgift om patientens identitet i patientjournalen, se 3 § andra stycket 1 patientjournallagen. Förordningen ger alltså indirekt patienten en möjlighet att motsätta sig personuppgiftsbehandling av namn och personnummer.

Vad skall gälla om den enskilde samtycker till en personuppgiftsbehandling?

En fråga som över huvud taget inte behandlats i vårdregisterlagens förarbeten eller uttryckligen reglerats i den lagen är i vad mån personuppgiftsbehandling som inte klart stöds av vårdregisterlagens bestämmelser är förbjuden även om den enskilde lämnar sitt uttryckliga samtycke till personuppgiftsbehandlingen. Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl personuppgiftslagen som dataskyddsdirektivet (här bortses från vad som gäller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen). Som framgått ovan är dock EU-medlemsstaterna oförhindrade att åtminstone i fråga om känsliga personuppgifter upphäva verkan av den enskildes samtycke i detta avseende (artikel 8.2 a i dataskyddsdirektivet). Personuppgiftslagen – vars övergripande syfte är att skydda enskilda mot kränkningar av deras personliga integritet (1 §) – gäller som tidigare sagts om inget annat följer av vårdregisterlagen.

Frågan är då vad som kan anses följa av vårdregisterlagen. Enligt vår uppfattning är det av avgörande betydelse huruvida vårdregisterlagen anses utgöra ett sådant upphävande som avses i artikel 8.2 a dataskyddsdirektivet.

Flera gånger under utredningsarbetet har frågor uppkommit om vilken betydelse det kan ha om den enskilde uttryckligen samtycker

till en personuppgiftsbehandling inom hälso- och sjukvården. Många av de projektverksamheter avseende IT-användning som i dag drivs på olika nivåer inom hälso- och sjukvården, baseras på att patienter uttryckligen samtycker till personuppgiftsbehandlingen inom projekten. I dessa fall åberopas i allmänhet personuppgiftslagen till stöd för personuppgiftsbehandlingen när vårdregisterlagen inte ger direkt stöd för informationshanteringen. En fråga som ofta ställs är i vad mån den enskilde kan samtycka till att personuppgifter om honom eller henne i ett vårdregister samkörs med andra register än sådana som vårdregister enligt 6 § vårdregisterlagen får samköras med. En annan fråga som i ett fall prövats rättsligt är om vårdgivare får ge en patient elektronisk tillgång, direktåtkomst, till personuppgifter om sig själv i ett vårdregister. Fallet rörde ett landsting som avsåg ge de patienter som ansökte om det elektronisk tillgång till vissa patientjournaluppgifter m.m. De närmare omständigheterna kring fallet behandlas i avsnitt 3.3.2. Här skall bara anges att länsrätten fann detta stå i strid mot vårdregisterlagen, eftersom den lagen föreskriver att endast den som behöver det för att kunna utföra sitt arbete får ha direktåtkomst till ett vårdregister, se 8 § vårdregisterlagen. Vi är emellertid tveksamma till om 8 § vårdregisterlagen bör tolkas som en sådan bestämmelse i nationell lagstiftning som upphäver verkan av att den enskilde registrerade samtycker till en personuppgiftsbehandling; att ge enskilda registrerade direktåtkomst till personuppgifter om sig själva är nämligen att se som en personuppgiftsbehandling i sig. Det är, menar vi, en alltför vidsträckt tolkning av vårdregisterlagen i förhållande till vad som följer av personuppgiftslagens och dataskyddsdirektivets bestämmelser om när personuppgiftsbehandling är tillåten. I sammanhanget kan noteras att frågan inte berördes i vårdregisterlagens förarbeten. Däremot poängterades i förarbetena betydelsen från integritetssynpunkt med bestämmelsen om direktåtkomst. Särskilt angavs att bestämmelsen kan sägas motsvara 7 § patientjournallagen om inre sekretess och 2 a § hälso- och sjukvårdslagen om att vården skall bygga på respekt för patientens självbestämmande och integritet (prop. 1997/98:108 s. 76 och 99).

Enligt vår uppfattning kan ifrågasättas om det är rimligt att tolka lagstiftning – som syftar till att skydda enskildas personliga integritet – såsom in dubio innebärande ett absolut förbud mot sådan personuppgiftsbehandling som den enskilde registrerade uttryckligen samtycker till eller önskar, ja kanske t.o.m. ställer krav på. Särskilt

gäller detta i sådan lagstiftning som, i avsaknad av särbestämmelser, kompletteras av personuppgiftslagens bestämmelser enligt vilka uttryckligt samtycke med något undantag utgör laglig grund för personuppgiftsbehandling. Det sagda menar vi inte bara gäller i fråga om direktåtkomst utan även i fråga om andra bestämmelser i vårdregisterlagen.

I förarbetena till personuppgiftslagen berördes frågan om artikel 8.2 a i dataskyddsdirektivet och möjligheterna att i lagstiftning bestämma att förbudet mot behandling av känsliga personuppgifter inte kan upphävas genom den registrerades samtycke. Frågan uppkom med anledning av att en remissinstans, Arbetarskyddsstyrelsen, föreslagit att regeringen eller Datainspektionen skulle få möjlighet att i särskilda fall förbjuda behandling även om det finns samtycke. Enligt regeringens uppfattning finns det, när någon har lämnat ett frivilligt samtycke till en viss personuppgiftsbehandling, inte något integritetsskyddsintresse som gör det befogat att förbjuda den behandling som den registrerade och den personuppgiftsansvarige är överens om. Därför föreslogs inte någon sådan möjlighet som Arbetarskyddsstyrelsen föreslagit (prop. 1997/98:44 s. 69).

Vi menar att regeringens resonemang – som får anses ha principiell karaktär – har bäring även på personuppgiftsbehandling inom hälso- och sjukvården och att det alltså finns anledning att tillåta även sådan personuppgiftsbehandling som avviker från patientdatalagens bestämmelser, om den registrerade lämnar sitt uttryckliga samtycke till personuppgiftsbehandlingen, se avsnitt 8.5.2 ovan angående vilka krav som ställs på ett giltigt samtycke. Med ett uttryckligt samtycke kan t.ex. personuppgifter samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning.

Visserligen kan som ett skäl emot förslaget anföras att en enskild patient ofta befinner sig i ett utsatt läge eller annars i en svag position i sina kontakter med hälso- och sjukvården. Han eller hon kan därför komma att samtycka till en personuppgiftsbehandling utan att vara helt på det klara med konsekvenserna. Vi har dock inget fog för antagandet att möjligheten att inhämta patienters uttryckliga samtycke till särskilda personuppgiftsbehandlingar skulle missbrukas av vårdgivare. Vi föreslår därför den huvudregeln att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde registrerade uttryckligen samtycker till det. Vi har övervägt om det även bör införas ett krav på att samtycket skall vara skriftligt. Ett sådant krav skulle vara ägnat att inskärpa betydelsen av att den enskilde noga informeras om att den tilltänkta

personuppgiftsbehandlingen avviker från patientdatalagens bestämmelser. Vidare skulle framtida bevissvårigheter för vårdgivare minska, för det fall tvist senare uppstår huruvida ett uttryckligt samtycke från en patient förelegat eller inte. Dessa skäl talar dock inte med övervägande styrka för att införa ett skriftlighetskrav enligt vår mening. Ett sådant krav skulle vidare avvika från annan lagstiftning på området eller på näraliggande områden där samtycke uppställs som en legal förutsättning för en åtgärd. Vi föreslår därför inte ett sådant formkrav. Det hindrar naturligtvis inte att skriftligt samtycke ändå används i praktiken.

Liksom när det gäller frågan om verkan av att den enskilde motsätter sig personuppgiftsbehandlingen, bör förbehåll göras för att annat kan följa av patientdatalagen eller av annan lag eller förordning. I avsnitt 11.3 kommer vi att föreslå en bestämmelse som uttryckligen anger att en patient inte kan samtycka till en personuppgiftsbehandling i strid mot vissa av patientdatalagens bestämmelser. Vidare föreslår vi att regeringen ges en generell befogenhet att närmare kunna föreskriva ytterligare undantag som upphäver verkan av den enskilde registrerades samtycke till personuppgiftsbehandling. Utgångspunkten för att meddela sådana föreskrifter, bör vara att skydda enskilda från kränkningar av deras personliga integritet.

Avslutningsvis bör poängteras att den enskilde enligt vårt förslag naturligtvis bara kan uttryckligt samtycka till avvikelser från patientdatalagen rörande uppgifter om sig själv. Ett samtycke från patienten gör det således inte tillåtet att behandla även t.ex. uppgifter om patientens anhöriga i strid mot lagen eller att använda annars otillåtna sökbegrepp (se nästa avsnitt) i fråga om sökning bland andra personuppgifter än sådana som enbart rör patienten.

8.6. Sökbegrepp

Vårt förslag: Samma sökbegränsningar som i dag gäller enligt 7 § vårdregisterlagen skall gälla även vid behandling av personuppgifter enligt patientdatalagen. Det innebär att känsliga personuppgifter, som avses i 13 § personuppgiftslagen, samt personuppgifter om lagöverträdelser m.m., som avses i 21 § personuppgiftslagen, med vissa undantag inte får användas som sökbegrepp.

Undantagen, som fortfarande skall gälla, avser uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård

eller lagen (1991:1129) om rättspsykiatrisk vård. Dessa uppgifter får användas som sökbegrepp.

Härutöver gäller att uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen inte får användas som sökbegrepp.

Utan hinder av sistnämnda begränsningar får myndighet inom landsting och kommuner använda personuppgifter om etnicitet, bistånd eller andra insatser inom socialtjänsten eller åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar, om regeringen meddelar föreskrifter om det.

Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Vilka sök- och sammanställningsmöjligheter som finns har vidare betydelse för frågan om vilka handlingar som anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsförordningen. Varje sammanställning av elektroniskt lagrade uppgifter som myndigheten kan göra med hjälp av tillgängliga program är i princip att anse som en allmän handling hos myndigheten. Detta gäller även om det aldrig tidigare har existerat en sådan sammanställning och även om sammanställningen inte alls behövs för myndighetens egen verksamhet. Förutom redan existerande handlingar brukar man därför tala om s.k. potentiella handlingar. Tekniska begränsningar kan dock innebära att en tänkt sammanställning inte kan göras; en sådan är ingen allmän handling. Vidare kan en myndighets – och därmed också allmänhetens – möjligheter att få tillgång till sammanställningar av uppgifter som finns i myndighetens informationssystem underkastas rättsliga begränsningar. Denna regel, begränsningsregeln, syftar till att allmänheten inte med stöd av offentlighetsprincipen skall kunna göra anspråk på att få del av sådana sammanställningar hos myndigheten som myndigheten av hänsyn till skyddet för den personliga integriteten själv är förhindrad att ta fram, se 2 kap. 3 § andra stycket tryckfrihetsförordningen.

Den rättsliga metoden att åstadkomma sökbegränsningar och förbud för en myndighet att göra vissa sammanställningar av uppgifter som normalt används är att i registerförfattningar reglera vilka personuppgifter som får eller inte får användas som sökbegrepp.

Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funktion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till. Om exempelvis namnet på en viss sjukdom används för att söka fram eller sammanställa alla handlingar som innehåller detta ord, är namnet på sjukdomen ett sökbegrepp. Frågan om sökbegrepp är i princip intressant endast när det gäller information som behandlas elektroniskt, dvs. som finns lagrad på medium för automatiserad behandling. Informationsteknikens utveckling har medfört att sökmöjligheterna är i det närmaste obegränsade när det gäller elektroniskt lagrad information. Sammanställningar av uppgifter kan teoretiskt göras utifrån alla tänkbara sökkriterier som korresponderar med den lagrade informationen. Motsvarande sammanställningsmöjligheter saknas i praktiken helt när det gäller manuellt behandlad information som vanligen är sökbar endast utifrån ett fåtal kriterier.

Vårdregisterlagen – som reglerar både allmän och enskild hälso- och sjukvård – innehåller bestämmelser om sökbegrepp. Enligt 7 § vårdregisterlagen får inte sökbegrepp användas som utgör känsliga personuppgifter enligt 13 § personuppgiftslagen, dvs. som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Inte heller får personuppgifter som avses i 21 § personuppgiftslagen användas som sökbegrepp, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Vidare är det förbjudet att som sökbegrepp använda uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen. Från förbudet finns några undantag. Uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård får användas som sökbegrepp.

I förarbetena till vårdregisterlagen motiverades undantaget för sökbegreppen sjukdom och hälsotillstånd med att det är en värdefull tillgång hos datoriserad journalföring att genom sökning på begrepp som beskriver sjukdom och hälsotillstånd snabbt och effektivt finna relevanta journalanteckningar från patientens tidigare vårdtillfällen. Fördelarna med att tillåta sökning på dessa från integritetssynpunkt känsliga begrepp är så stora, menade regeringen, att intresset av en begränsning av sökmöjligheterna bör få vika. Vidare ansåg regeringen

att uppgifter om att patienten varit föremål för psykiatrisk tvångsvård eller rättspsykiatrisk vård är av särskilt intresse när det gäller användningen av ett vårdregister för andra ändamål än i och för patientens vård såsom uppföljning, utvärdering och kvalitetssäkring av psykiatrisk tvångsvård och rättspsykiatrisk vård. När det gäller sökbegränsningarna i fråga om insatser enligt socialtjänsten och åtgärder enligt utlänningslagen motiverades dessa endast med att de överensstämde med den då fortfarande gällande 4 § datalagen. I sammanhanget kan nämnas att även uttrycket ”sjukdom och hälsotillstånd” är hämtat från datalagen. Någon begreppsmässig skillnad gentemot 13 § personuppgiftslagen i vad avser uppgifter som rör hälsa synes inte ha varit avsedd (prop. 1997/98:108 s. 75).

Utan sökbegränsningar kan, som framgått av det föregående, vilka sökningar och sammanställningar som helst göras, t.ex. i fråga om patientuppgifter av mycket känslig art i hälso- och sjukvårdens informationssystem. Vårdgivare måste dock utforma datasystemen så att endast behörig personal kan utföra sökningar. Behörighetssystem som gör att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning) ger också ett skydd vid elektronisk personuppgiftsbehandling (se avsnitt 12). Hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § sekretesslagen förhindrar också som regel allmänhetens möjligheter att med stöd av offentlighetsprincipen få ut sammanställningar av integritetskänslig information. Den starka sekretessen innebär därmed i sig ett skydd mot just sådana integritetsintrång som obegränsade sökmöjligheter kan innebära på grund av tryckfrihetsförordningens bestämmelser om vad som utgör allmänna handlingar.

Vikten av att minimera risken för otillbörliga integritetsintrång medför emellertid, enligt vår uppfattning, att de sökbegränsningar som finns i vårdregisterlagen bör behållas. Därutöver bör sökbegränsningarna göras tillämpliga inte bara vid behandling av personuppgifter för vårdändamål etc. utan vid all behandling av personuppgifter som regleras i patientdatalagen.

Det sagda innebär att följande uppgifter inte får användas som sökbegrepp.

1. Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör sexualliv (13 § personuppgiftslagen).

2. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § personuppgiftslagen).

3. Uppgifter om att någon får eller fått bistånd eller andra insatser inom socialtjänsten.

4. Uppgifter om att någon är eller varit föremål för åtgärder enligt utlänningslagen.

I likhet med vad nuvarande bestämmelser i vårdregisterlagen slår fast, föreslår vi att uppgifter om sjukdom och hälsotillstånd bör få användas som sökbegrepp. I patientdatalagen bör detta undantag från förbudet mot att använda känsliga personuppgifter som sökbegrepp dock anpassas till personuppgiftslagens vokabulär genom att undantaget anges till uppgifter ”som rör hälsa”. Skälen för att tillåta uppgifter om hälsa som sökbegrepp är i princip desamma som angavs i vårdregisterlagens förarbeten, se ovan. Förutom i det individinriktade arbetet är det dessutom väsentligt att vid t.ex. verksamhetsuppföljningar kunna göra sammanställningar utifrån sökkriterier såsom diagnoser och liknande. Även vid t.ex. verksamhetsplanering behövs möjligheter att identifiera tendenser som är av betydelse för verksamheten, t.ex. i fråga om förväntningar på ökande tillströmning av olika patientkategorier. Patientdatalagen bör inte hindra sådan personuppgiftsbehandling. Vi förutsätter härvid att sammanställningar som används i dessa sammanhang snarast möjligt avidentifieras, eftersom individuppgifterna som sådana torde sakna betydelse för ändamålet med den fortsatta behandlingen.

Liksom enligt vårdregisterlagen bör vidare uppgifter om vissa administrativa frihetsberövanden inom psykiatrin och rättspsykiatrin få användas som sökbegrepp.

När det gäller sökbegränsningarna i fråga om insatser inom socialtjänsten och åtgärder enligt utlänningslagen är det i dessa fall fråga om uppgifter som inte generellt särbehandlas i personuppgiftslagen såsom särskilt integritetskänsliga, såvida de inte omfattas av 13 § eller 21 §personuppgiftslagen. Att en person vårdas eller tidigare har vårdats enligt lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall är exempel på uppgifter som är både en insats inom socialtjänsten och en uppgift som omfattas av 21 § personuppgiftslagens bestämmelse om administrativa frihetsberövanden. Det sistnämnda fallet torde vidare utgöra en uppgift som rör hälsa. Insatser inom socialtjänsten är emellertid ett långt vidare begrepp än uppgifter om vissa admini-

strativa frihetsberövanden som anknyter till socialtjänsten. Det kan t.ex. handla om en uppgift om att en äldre eller funktionshindrad patient får insatser inom socialtjänsten i form av särskilt boende. En sådan uppgift får inte användas som sökbegrepp, vare sig för att söka fram en enskild uppgift eller för att kunna göra en sammanställning rörande flera patienter.

Att en person tagits i förvar enligt utlänningslagen är, förutom en uppgift om en åtgärd enligt utlänningslagen, även en uppgift som avses i 21 § personuppgiftslagen. Åtgärder enligt utlänningslagen kan dock avse betydligt fler åtgärder än så. Det kan t.ex. röra en uppgift om att någon är inskriven hos Migrationsverket som asylsökande eller har ett tillfälligt eller permanent uppehållstillstånd, ett arbetstillstånd, en visering etc.

I utredningsarbetet har det framkommit att det i vissa fall finns behov av att kunna använda etnicitet som sökbegrepp för att kunna göra sammanställningar som landstingen behöver för att planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver. Ett exempel är gravida kvinnor från vissa geografiska områden i andra länder som löper särskilda hälsorisker, t.ex. att få diabetes, just på grund av sin bakgrund i dessa områden. Ett annat exempel är personuppgifter om etnicitet i anslutning till den nationella biobank för stamceller från navelsträngsblod som skall byggas upp vid Sahlgrenska universitetssjukhuset i Västra Götalandsregionen.

Vidare har Stockholms läns landsting till utredningen framfört att sökbegränsningen i fråga om åtgärder enligt utlänningslagen innebär svårigheter för landstinget att genom användning av modern informationsteknik få fram information om vårdinsatser åt asylsökande m.fl. som krävs för att landstinget skall kunna begära ersättning från staten enligt förordningen om statlig ersättning för hälso- och sjukvård till asylsökande eller förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. Enligt dessa förordningar är landsting skyldiga att lämna Migrationsverket de uppgifter som krävs för bedömningen av deras rätt till ersättning. Vi utesluter inte att även andra landsting kan ha motsvarande svårigheter att göra sammanställningar av information. Vidare är det inte heller otänkbart att det kan innebära vissa obefogade begränsningar för landsting och kommuner att kunna ta fram sammanställningar med personuppgifter avseende kommunal omsorg som utgör socialtjänst.

Vi har emellertid bedömt att det sagda inte utgör tillräckliga skäl att i patientdatalagen avskaffa de nuvarande sökbegränsningarna i fråga om etnicitet, insatser m.m. inom socialtjänsten och åtgärder

enligt utlänningslagen. Dessa uppgiftskategorier är av ömtålig art från integritetssynpunkt.

Däremot menar vi, i enlighet med det nyss sagda, att det bör vara möjligt för regeringen att närmare föreskriva sådana undantag från sökbegränsningarna som medger att landsting och kommuner kan göra vissa slags sammanställningar. En sådan föreskrift kan t.ex. avse sökningar på etnicitet för sammanställningar som behövs för att landstingen skall kunna planera eller göra riktade och uppsökande hälsovårdsinsatser till en viss flyktinggrupp. Ett annat exempel är sammanställningar som behövs för att landstingen skall kunna begära ersättning enligt förordningen om statlig ersättning för asylsökande m.fl. Något motsvarande undantag för privata vårdgivare finns det enligt vår mening inte behov av.

Det bör noteras att regleringen i fråga om sökbegrepp inte innebär begränsningar i fråga om vilka personuppgifter som får behandlas enligt patientdatalagen. Självfallet bör givetvis ändå iakttas sträng återhållsamhet när det handlar om att registrera och även i övrigt behandla sådana personuppgiftskategorier som inte får användas som sökbegrepp. Här kan erinras om den kontinuerliga prövning som skall göras av om uppgifterna behövs för ändamålen med varje behandling, se avsnitt 8.4.

8.7. Elektroniskt utlämnande av personuppgifter

Våra förslag: Med direktåtkomst avses i patientdatalagen – till skillnad från i vårdregisterlagen – en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgivares organisation. Direktåtkomst till personuppgifter som behandlas enligt patientdatalagen får bara förekomma i den utsträckning som anges i lag eller förordning. I patientdatalagen regleras vissa fall av tillåten direktåtkomst. Dessutom tas en uttrycklig bestämmelse in i patientdatalagen som förtydligar att personuppgifter får lämnas ut i annan elektronisk form än genom direktåtkomst, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.

8.7.1. Allmänt om elektroniskt utlämnande

I avsnitt 8.2 har vi föreslagit ändamål för vilka personuppgifter skall få behandlas hos vårdgivare. Inom ramen för dessa ändamål kommer det ofta att bli aktuellt att behandla personuppgifter om patienter genom att uppgifterna lämnas ut till en extern mottagare, dvs. till en mottagare som finns utanför den utlämnande vårdgivarens egen verksamhet. Utlämnandet kan t.ex. avse personuppgifter som begärts utifrån av en annan vårdgivare eller som annars skall överföras till en extern mottagare enligt någon särskilt reglerad uppgiftsskyldighet. Men det kan också handla om att uppgifter lämnas ut vid fullgörande av den egna verksamheten, t.ex. i samband med remisser, utskrivningar, kvalitetsregisterrapportering m.m.

Personuppgifter kan lämnas ut på olika sätt, t.ex. via pappersutskrifter från dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form, dvs. på medium för automatiserad behandling. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem. Alla varianter – elektroniska eller inte – utgör behandling av personuppgifter enligt begreppets definition i 3 § personuppgiftslagen.

Personuppgiftslagen, och det underliggande dataskyddsdirektivet, saknar särskilda bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs således inte.

I många registerförfattningar och andra författningar som reglerar personuppgiftsbehandling finns emellertid bestämmelser varav framgår inte bara i vad mån personuppgifter får behandlas genom att lämnas ut till en extern mottagare utanför myndigheten eller det personuppgiftsansvariga organet utan även när det får göras i elektronisk form till andra myndigheter eller till enskilda. Motivet för denna särreglering av sättet eller den särskilda tekniken för utlämnandet är att själva den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet sker på papper.

I denna typ av lagstiftning används ofta begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.

Det finns inte någon legaldefinition av begreppet direktåtkomst. Enligt en vedertagen uppfattning, som också lyfts fram i flera lagförarbeten, innebär direktåtkomst att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via Internet eller annat nätverk, och på egen hand kan söka efter information.

Vanligtvis innebär direktåtkomst ingen möjlighet att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser (se t.ex. prop. 2000/01:33 s. 110 f.). Ibland har mottagaren emellertid en möjlighet att kopiera eller ladda ner och så att säga ”hämta hem” informationen till sitt eget system och bearbeta den där (se t.ex. prop. 2001/02:144 s. 35 eller Domstolsdatautredningen, SOU 2001:100 s. 149).

I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, dvs. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa uppgifter skall överföras till A. Beslutet om varje överföring fattas i stället av mottagaren.

Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker i stället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direktåtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.

Direktåtkomst till personuppgifter som behandlas i datoriserade register eller andra uppgiftssamlingar av en annan myndighet har sedan lång tid betraktats som en särskilt integritetskänslig personuppgiftsbehandling. I än högre grad har utlämnande till andra än myndigheter, dvs. till enskilda, genom direktåtkomst ansetts medföra särskilda risker för de registrerade. Det förhållandet att den utlämnande myndigheten inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av, har genomgående åberopats som grund för att utifrån integritetssynpunkt särskilt reglera direktåtkomst (se t.ex. prop. 2001/02:144 s. 35 f. ).

Ett ytterligare skäl till särreglering och återhållsamhet när det gäller myndigheters direktåtkomst till andra myndigheter eller enskilda organs datoriserade personuppgiftssamlingar har varit att de upptagningar som direktåtkomsten avser normalt blir allmänna handlingar hos en mottagande myndighet redan i och med mottagarens tekniska möjlighet att ta fram informationen. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir således allmänhetens möjlighet att få tillgång till dessa uppgifter. Avser direktåtkomsten sekretessbelagda uppgifter hos den utlämnande myndigheten, måste inte bara sekretesslagen medge att uppgifterna lämnas ut till mottagaren. Av avgörande betydelse för integritetsskyddet är också att uppgifterna har ett godtagbart sekretesskydd även hos mottagande myndigheter (se prop. 2000/01:33 s. 111). Det kan här anmärkas att sekretess för personuppgifter enligt någon materiell bestämmelse i sekretesslagen i normalfallet inte automatiskt följer med då uppgifterna sprids utanför det verksamhetsområde vari uppgifterna sekretesskyddas, t.ex. genom direktåtkomst. Problematiken kring frågor om direktåtkomst och sekretess m.m. kommer att behandlas i avsnitt 11.4 och 11.5.

Annat utlämnande på medium för automatiserad behandling innebär, förenklat uttryckt, elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna t.ex. genom användning av e-post, utlämnande på diskett eller cd-rom eller genom filöverföring från ett datorsystem till ett annat via telenätet där beslut om överföringen fattas av den som lämnar ut uppgifterna. Som regel innefattar begreppet att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen. Bearbetningsmöjligheterna torde dock inte vara avgörande för huruvida det är fråga om ett utlämnande på automatiserat medium. Då en låst elektronisk handling skickas som bilaga i e-post eller om en cd-rom lämnas ut varpå lagrats information med kvalificerat kopieringsskydd etc. är det enligt vår uppfattning fråga om ett utlämnande på medium för automatiserad behandling. Till skillnad från vid direktåtkomst kan emellertid vid annat utlämnande på medium för automatiserad behandling en prövning ske i varje enskilt fall av huruvida uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnande.

Det har i tidigare lagstiftningsärenden påtalats att det i vissa fall kan vara svårt att dra en gräns mellan direktåtkomst och annat utlämnande i elektronisk form samt att skillnaderna på grund av den

tekniska utvecklingen kan vara på väg att bli försumbara (se t.ex. prop. 2000/01:33 s. 111 eller prop. 2004/05:164 s. 82).

Nämnden för elektronisk förvaltning, e-nämnden (numera VERVA, Verket för förvaltningsutveckling) har tagit fram en vägledning för elektroniskt informationsutbyte mellan myndigheter samt mellan myndigheter och företag. De myndighetsgemensamma principer som presenteras i vägledningen togs fram parallellt med en rättsutredning inom ramen för SAMSET-projektet. SAMSET-projektet har haft regeringens uppdrag att under ett inledningsskede ha ansvar för administrationen av elektroniska ID-handlingar, e-legitimationer, för elektronisk identifiering och elektroniska underskrifter inom statsförvaltningen. I projektet som leddes av Skatteverket deltog även Bolagsverket, Centrala studiestödsnämnden, Försäkringskassan, Riksarkivet och Statskontoret.

Resultatet av den nämnda rättsutredningen har presenterats i rapporten Elektroniskt informationsutbyte – myndighetsgemensamma frågor (Samsetrapport 2005:1). I rapporten beskrivs svårigheterna med gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling, vilken i dag bygger på närmast tekniska skillnader. I rapporten förordas att gränsdragningen i stället skall utgå från funktionella skillnader och att en annan terminologi skall användas. I den ovan nämnda vägledningen görs – med hänvisning till att vi och ytterligare en utredning (2005 års informationsutbytesutredning, Fi 2005:08) för närvarande överväger elektroniskt informationsutbyte genom bl.a. direktåtkomst – bedömningen att en lösning på avgränsningsfrågorna bör kunna förväntas inom kort.

8.7.2. Nuvarande reglering

Som framgått i det föregående saknar personuppgiftslagen särskilda bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form i stället för på papper. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs inte heller i sekretesslagen, lagen om yrkesverksamhet på hälso- och sjukvårdens område eller i patientjournallagen (1985:562); centrala lagar för hälso- och sjukvårdens informationshantering.

Vårdregisterlagen innehåller däremot bestämmelser både om direktåtkomst och om annat utlämnande på medium för automatiserad behandling. I 8 § vårdregisterlagen föreskrivs att endast den som för

ändamål som anges i lagen behöver tillgång till uppgifterna för att kunna utföra sitt arbete får ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Som framgått redan i avsnitt 8.5 är bestämmelsen närmast en reglering av inre sekretess i form av en behörighetsreglering av tillåten elektronisk åtkomst inom en vårdgivares verksamhet och inte en bestämmelse om ett speciellt sätt att elektroniskt lämna ut personuppgifter till en extern mottagare.

I 9 § anges när uppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling. Så får ske om de skall användas för ändamål för vilka vårdregister får föras, vilka motsvarar ändamålet vårddokumentation, se avsnitt 8.2. Detsamma gäller om uppgifterna skall användas för framställning av statistik, administration på verksamhetsområdet, uppföljning, utvärdering eller kvalitetssäkring eller om uppgifterna skall lämnas på grund av att uppgiftsutlämnande som föreskrivs i lag eller förordning. Slutligen får uppgifter lämnas på medium för automatiserad behandling om de skall användas för forskning. Möjligheterna att elektroniskt lämna ut uppgifter som finns i ett vårdregister på annat sätt än genom direktåtkomst och som kan lämnas ut utan hinder av sekretess är alltså ganska stora. Någon skyldighet att lämna ut personuppgifter på medium för automatiserad behandling finns dock inte föreskriven, varken i vårdregisterlagen eller i någon annan lag av intresse i sammanhanget.

När det gäller annan elektronisk personuppgiftsbehandling än sådan som regleras i vårdregisterlagen gäller varken något förbud mot eller en skyldighet att lämna ut uppgifter elektroniskt. Inom den allmänna hälso- och sjukvården gäller det s.k. utskriftsundantaget i 2 kap. 13 § tryckfrihetsförordningen varav följer att en myndighet inom hälso- och sjukvården själv bestämmer i fråga om sättet att lämna ut en allmän handling som myndigheten förvarar i elektronisk form. Det beslutet bör tas med beaktande av syftet med utskriftsundantaget som är att skydda enskildas integritet vid s.k. massuttag. Kan utlämnandeformen användas utan otillbörliga integritetsintrång, finns det alltså inget som hindrar ett elektroniskt utlämnande.

Självklart gäller vid allt elektroniskt utlämnande inom hälso- och sjukvården – via direktåtkomst eller på annat sätt – höga krav på att det sker under säkerhetsmässigt godtagbara former.

8.7.3. Våra överväganden

Direktåtkomst

Som framgått förekommer i registerförfattningar att begreppet direktåtkomst används för att beskriva dels en speciell form av elektroniskt utlämnande till en extern mottagare, dels personalens elektroniska tillgång till personuppgifter som behandlas inom en organisation. Sådan ”intern” tillgång – som i dag regleras i vårdregisterlagen med begreppet direktåtkomst – benämns i fortsättningen för elektronisk åtkomst. Även sådan åtkomst kommer att behandlas i det följande, främst i avsnitt 12. Med begreppet direktåtkomst avser vi alltså endast en speciell form av elektroniskt utlämnande.

Vi delar uppfattningen som nämnts i det föregående om att det kan vara svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive utlämnande på medium för automatiserad behandling. Vi instämmer också i att det finns ett behov att se över dessa frågor. En sådan översyn måste emellertid anses falla utanför vårt uppdrag. Dessutom används dessa begrepp i ett antal författningar, varför det enligt vår uppfattning framstår som lämpligt att frågorna utreds i särskild ordning.

Enligt vår uppfattning är emellertid direktåtkomst och annat utlämnande på medium för automatiserad behandling i avvaktan på en sådan översyn användbara begrepp för reglering av olika sätt att lämna ut personuppgifter. Vi kommer därför att använda dessa begrepp i patientdatalagen.

När det gäller den närmare åtskillnaden mellan direktåtkomst och annat elektroniskt utlämnande anser vi att utgångspunkten inte bör vara hur en informationsöverföring tekniskt arrangeras.

Avgörande för åtskillnaden bör i stället vara huruvida den som ansvarar för förvaringen och det formella utlämnandet av en viss elektronisk informationsmängd vid varje givet överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om överföring och en sekretessprövning avseende den information som mottagaren i det enskilda fallet får del av. Förutsatt således att dessa aktiviteter inte sker genom något slags teknisk automatik, anser vi att det är fråga om annat elektroniskt utlämnande än direktåtkomst även om utlämnandet måhända sker rutinmässigt.

Är det i stället mottagaren som vidtar dessa manuella åtgärder vid ett givet överföringstillfälle i anslutning till att denne elektroniskt bereder sig tillgång till information, handlar det om direktåtkomst.

Det kan men behöver således alls inte vara fråga om att mottagaren har helt ”fri” tillgång till hela eller delar av utlämnarens uppgiftssamling för att det skall vara fråga om direktåtkomst. Exempelvis är det enligt vår uppfattning fråga om direktåtkomst även vid system för elektroniskt informationsutbyte som bygger på att den som vill ha information skickar en förfrågan till systemet och utifrån vissa förutsättningar kan få svar med den begärda informationen utan att någon person hos utlämnaren tar emot och effektuerar förfrågan.

Med direktåtkomst i patientdatalagens mening kan alltså avses olika slags system med varierande tekniska och organisatoriska lösningar för tillgång till personuppgifter.

Carelinks projekt Nationell Patientöversikt är ett exempel på ett system som inte innebär ”klassisk” direktåtkomst till alla uppgifter i ett register eller en databas. I detta system görs lokalt lagrad vårddokumentation – med patientens samtycke – potentiellt sett tillgänglig för andra vårdgivare som är anslutna till systemet. När en behörig befattningshavare hos en annan vårdgivare vill ta del av information om en patient, intygar befattningshavaren elektroniskt, genom en knapptryckning, att han eller hon har patientens samtycke. Härigenom samt genom en automatiserad behörighetskontroll m.m., ”beviljas” åtkomsten och befattningshavaren kan söka sig fram till och ta del av så pass mycket information som han eller hon väljer att ta fram av den totalt tillgängliga informationsmängden. I systemet finns vidare en särskild loggningsfunktion för nödlägen via vilken uppgifter kan bli elektroniskt tillgängliga utan att man anger att man har patientens samtycke. Inte heller i dessa fall görs någon manuell bedömning hos utlämnaren. Även den Nationella patientöversikten bygger alltså på att uppgifter lämnas ut genom direktåtkomst.

Vi menar att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter som hanteras inom hälso- och sjukvården. Det finns därför anledning att genom reglering i patientdatalagen uttömmande klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör bara få ske i den utsträckning som anges i lag eller förordning.

Vi kommer längre fram i detta betänkande att lämna vissa förslag på direktåtkomst som vi funnit bör införas. Även sekretessproblem som är förknippade med direktåtkomst behandlas i det följande liksom direktåtkomstens förhållande till bestämmelser i tryckfrihetsförordningen och arkivlagen.

Vi utesluter dock inte att det på vissa specialområden inom hälso- och sjukvården kan finnas skäl att tillåta ytterligare direktåtkomst än de vi föreslår. Det får emellertid utredas och övervägas i särskild ordning.

Annat utlämnande på medium för automatiserad behandling

De skäl som från integritetssynpunkt gör det befogat att särreglera direktåtkomst väger enligt vår uppfattning avsevärt lättare när det handlar om annat elektroniskt utlämnande. Den stränga hälso- och sjukvårdssekretessen, som närmare kommer att behandlas i bl.a. avsnitt 11.5, och motsvarande bestämmelser för den privata hälso- och sjukvården i lagen om yrkesverksamhet på hälso- och sjukvårdens område utgör enligt vår uppfattning ett starkt integritetsskydd. Exempelvis förekommer inte massuttag av stora mängder personuppgifter till mottagare utanför hälso- och sjukvårdssektorn vars fortsatta elektroniska bearbetning av uppgifterna inte bör underlättas. Man kan inte heller bortse från dagens möjligheter för en mottagare att skanna in och därefter bearbeta även uppgifter som lämnats ut på papper. Att generellt begränsa hur uppgifter får lämnas ut, riskerar vidare att hämma effektiviteten i hälso- och sjukvårdens informationshantering på ett sätt som inte står i proportion till de vinster som kan finnas ur integritetssynpunkt.

Enligt vår uppfattning är tiden alltså mogen för att avskaffa den begränsning som i dag finns i 9 § vårdregisterlagen när det gäller användning av modern IT för utlämnande av uppgifter som finns i vårdregister. Det kan påminnas om att det sagda självfallet bara gäller sättet för utlämnande. Huruvida uppgifterna alls får lämnas ut bestäms som tidigare av andra regler, bl.a. i sekretesslagen. Vidare krävs givetvis även att elektronisk kommunikation m.m. sker under former som garanterar en hög säkerhetsnivå.

Vi föreslår således inte några ytterligare begränsningar som reglerar själva sättet för utlämnande än de som gäller direktåtkomst. I stället bör det ankomma på vårdgivarna själva att efter en lämplighetsprövning avgöra valet mellan en automatiserad överföring, t.ex. via e-post, och annan överföring, t.ex. via post eller telefax. Den prövningen måste givetvis ta hänsyn till vilka risker ur säkerhets- och integritetssynpunkt som finns och väga dessa mot eventuella vinster från t.ex. effektivitetssynpunkt. Det är dock inte givet att ett utlämnande på papper via post, bud eller telefax alltid garanterar en högre

säkerhet än vad t.ex. e-post till en känd mottagare gör. Känner man till att mottagaren kommer att i sin tur mata in uppgifterna på dator, finns vidare risker för överföringsfel som i sig kan vara negativa ur integritetssynpunkt.

Eftersom vårt förslag avviker från vad som hittills gällt inom vårdregisterlagens tillämpningsområde bör, av tydlighetsskäl, en uttrycklig bestämmelse tas in i patientdatalagen enligt vilken personuppgifter får lämnas ut på medium för automatiserad behandling i annan form än genom direktåtkomst, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.

9. En sammanhållen journal

9.1. Vårt uppdrag

Större delen av den personuppgiftsbehandling som äger rum inom hälso- och sjukvården avser personuppgifter som primärt samlas in för att dokumenteras i en patientjournal. Hur patientjournalföringen regleras är därför av avgörande betydelse för utformningen av lagstiftningen om personuppgiftsbehandlingen inom hälso- och sjukvården i stort.

Frågor om den närmare regleringen av patientjournalföringen behandlas i nästföljande avsnitt, avsnitt 10. I detta avsnitt behandlas enbart frågan om det bör införas sammanhållna patientjournaler, dvs. journaler som förs av alla eller flera vårdgivare i ett gemensamt elektroniskt system, t.ex. i form av en gemensam patientdatabas.

Enligt våra första tilläggsdirektiv (dir. 2004:95) skall vi analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patientjournal för varje patient. Om vi finner att en för alla vårdgivare sammanhållen journal är ändamålsenlig utifrån patientsäkerhet, förbättrad uppföljning, begränsad administration samt dessutom förenlig med skyddet av den personliga integriteten, skall vi lämna nödvändiga författningsförslag. Om vi finner att en sammanhållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall vi granska och analysera förutsättningarna i övrigt för informationsöverföring inom hälso- och sjukvården m.m.

9.2. Visionen ”En patient – en journal”

Idén om en framtida elektronisk sammanhållen journal för varje patient som är gemensam för samtliga vårdgivare, på nationell eller regional nivå, har under de senaste åren blivit en vision som successivt fått en bredare uppslutning i den allmänna debatten om hälso-

och sjukvården. Som exempel härpå kan anföras att vid de hearingar med företrädare för patientorganisationer som vi anordnat, har flertalet förklarat att de ställer sig positiva till införandet av för flera vårdgivare sammanhållna patientjournaler i en eller annan form.

En uttalad målsättning för mycket av det utvecklingsarbete som nu pågår på olika håll och på olika nivåer är att all dokumentation i form av patientjournalföring skall kunna ske i en och samma journal som följer patienten i livets alla vårdkontakter med olika vårdgivare. I t.ex. Socialstyrelsens och Sveriges Kommuner och Landstings InfoVU-projekt har man formulerat visionen på följande tvåfaldiga sätt. ”En patient – en journal” och ”En journaluppgift – en journalplats”. Det långsiktiga målet är att skapa en ändamålsenlig vårddokumentation som ger tillförlitlig och användbar information för olika aktörer och som följer patienten hela livet (framfört muntligen exempelvis på konferensen Ändamålsenlig vårddokumentation den 2 december 2003).

I den allmänna debatten framförs då och då ståndpunkten att journalen bör frikopplas från vårdgivaren och i stället vara knuten till och följa patienten. I förarbetena till lagen (2005:258) om läkemedelsförteckning anförs bl.a. att en tänkbar väg att öka patientsäkerheten på läkemedelsområdet skulle vara att inrätta ett system med journalföring knuten till patienten och inte till den vårdenhet som patienten besöker (prop. 2004/05:70 s. 20). Ett sådant system skulle, enligt propositionen, kunna innebära en möjlighet att samla all information om den enskilde på ett ställe. Informationen skulle med patientens medgivande göras tillgänglig för senare förskrivare och även för farmaceuter. Detta kräver emellertid omfattande och delvis omvälvande lagändringar som bl.a. berör patientjournallagen (1985:652). I propositionen påpekas att de utredningar och analyser som är nödvändiga för att överväga lagändringar saknas i dagsläget men ingår i den redan tillsatta Patientdatautredningens uppdrag. Vid utskottsbehandlingen av propositionen väcktes ett antal motioner med förslag i linje med denna tanke (bet. 2004/05:SoU13 s. 8 f.). Bl.a. föreslogs ett nationellt elektroniskt system för patientjournaler som är knuten till patienten och inte till vårdenheten (motion So7) och om patientknutna smartkort (motion So8).

Det framförs också ibland åsikter om att det är patienten som bör äga eller ha förfoganderätten till uppgifterna i sin journal och att vårdgivaren närmast bör ha rollen som en förvaltare av uppgifterna åt patienten. I dessa sammanhang brukar anföras att det främst är tryckfrihetsförordningen och dess regler om allmänna handlingar

samt sekretesslagens (1980:100) krav på menprövning som utgör juridiska hinder mot den föreslagna ordningen. Vidare anförs att det är olyckligt att olika regler gäller för journaler i allmän respektive enskild hälso- och sjukvård. Det bör därför övervägas, menar man, att undanta patientjournaler i den allmänna hälso- och sjukvården från tryckfrihetsförordningens tillämpningsområde (se t.ex. Socialstyrelsens remissyttrande den 31 augusti 2004 över Offentlighets- och sekretesskommitténs huvudbetänkande Ny sekretesslag [SOU 2003:99] och InfoVU-projektets rapport Rättsfrågor med anknytning till IT i vård och omsorg, Socialstyrelsen november 2005, s. 55 f.).

9.3. Nuvarande reglering och tidigare utredningar

9.3.1. Vad säger nu gällande reglering av patientjournalföringen om sammanhållna patientjournaler?

Dokumentationen och den fortsatta hanteringen av personuppgifter i patientjournaler omfattas av en mosaik av rättsregler. Grundläggande bestämmelser om all patientjournalföring inom hälso- och sjukvården finns i patientjournallagen. Lagen ställer bl.a. krav på journalernas utformning, innehåll och hantering. Den gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt.

I 1 § patientjournallagen slås det fast att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. En patientjournal är individuell och skall föras för varje enskild patient. Den får alltså inte vara gemensam för flera patienter, något som framgår direkt av lagens lydelse. Däremot kan det finnas flera journaler för en och samma patient. Enligt lagens förarbeten finns det dock inget hinder mot att de som deltar i vården av en patient för en gemensam patientjournal för patienten (prop. 1984/85:189 s. 37). Enligt en allmän uppfattning bland företrädare för hälso- och sjukvården medger patientjournallagen emellertid inte att personal hos olika vårdgivare, eller för den delen olika myndigheter som tillhör samma vårdgivare (t.ex. ett landsting), för patientjournal tillsammans. Något uttryckligt förbud häremot finns dock inte i patientjournallagen.

Patientjournallagen är som tidigare sagts teknikoberoende. Till den del journalföring sker elektroniskt, är även bestämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen) och personupp-

giftslagen (1998:204) tillämpliga på den personuppgiftsbehandling som patientjournalföringen innebär.

Förs en patientjournal elektroniskt, innebär det att den ingår i ett vårdregister. Begreppet vårdregister definieras inte närmare i vårdregisterlagen. Det är därför svårt att utläsa huruvida en vårdgivare kan ha flera eller bara ett vårdregister i lagens mening. I praktiken är det dock vanligt att stora vårdgivare såsom landstingen inom sitt område har flera från varandra helt separata journalsystem som vart och ett skulle kunna betraktas som ett register. Landsting eller kommuner som bedriver hälso- och sjukvårdsverksamhet inom ramen för flera nämnder som var och en utgör en självständig förvaltningsmyndighet har normalt flera vårdregister. Även inom en och samma myndighet torde det kunna finnas flera vårdregister, exempelvis då folktandvården har journal- och patientadministrativa system som tekniskt och administrativt är helt åtskilda från system som används på ett sjukhus som ingår i samma myndighet.

Allmänt tolkas vårdregisterlagen på så sätt att den hindrar att flera vårdgivare delar på ett vårdregister (se t.ex. Landstingsförbundets skrift Sekretess och integritetsskydd för samverkande elektroniska patientjournaler – ett diskussionsunderlag till pågående utvecklingsarbete, Stockholm 2001, s. 8 f. eller InfoVU-projektets rapport Rättsfrågor med anknytning till IT i vård och omsorg, Socialstyrelsen november 2005, s. 72 f.). Detta framgår dock inte uttryckligen av lagen eller dess förarbeten.

Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen).

I personuppgiftslagen finns flera bestämmelser av betydelse för hanteringen av elektroniska patientjournaler. En viktig bestämmelse är att det alltid skall finnas en personuppgiftsansvarig, vilken torde vara identisk med vårdgivaren, som bl.a. ansvarar för att personuppgiftsbehandlingen i elektroniska patientjournaler sker lagenligt och att personuppgifterna som finns i ett vårdregister skyddas av lämpliga tekniska och organisatoriska åtgärder.

Enligt personuppgiftslagen kan personuppgiftsansvar mycket väl vara delat mellan flera fysiska eller juridiska personer. Flera kan alltså vara personuppgiftsansvariga för samma personuppgiftsbehandling.

Mot bakgrund av det sagda kan sägas att regleringen av patientjournalföringen i och för sig inte hindrar sammanhållna journaler gemensamma för flera vårdgivare, i vart fall inte uttryckligen. Där-

emot är, som kommer att framgå i det följande, den sekretess som i allmänhet gäller för uppgifter i patientjournaler ett rättsligt hinder i sammanhanget. Bestämmelser om sekretess finns i sekretesslagen och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

9.3.2. Några tidigare utredningar

Frågan om för flera vårdgivare sammanhållna journaler har berörts av ett par tidigare utredningar, som här kort refereras.

Såsom nämnts i utredningens första tilläggsdirektiv har Socialstyrelsen på regeringens uppdrag gjort en översyn av patientjournallagen. Översynen resulterade i en skrivelse till regeringen som publicerades i december 2001, Patientjournallagen – En översyn med förslag till författningsändringar. I skrivelsen har Socialstyrelsen lämnat förslag till ett flertal sakliga ändringar i patientjournallagen av vilka merparten redovisas i avsnitt 10. Ett av förslagen bör emellertid nämnas här, nämligen en helt ny bestämmelse vari anges att dokumentation bör göras i en sammanhållen patientjournal, om inte särskilda skäl talar mot det. Vidare föreslogs en uttrycklig bestämmelse om att uppgifter i ett visst hänseende endast bör förekomma en gång i journalen. Enligt förslaget skall det ankomma på verksamhetschefen att ge riktlinjer som behövs i dessa avseenden. I motiveringen angavs den föreslagna bestämmelsen vara en målparagraf vars främsta syfte är att förhindra onödig dokumentation och dubbelarbete. Med särskilda skäl som talar mot en sammanhållen journal pekades i första hand på integritets- och sekretesskäl. Härvid åsyftades problem som kan finnas när det gäller såväl den inre sekretessen mellan t.ex. olika kliniker inom ett landsting som yttre sekretess (a.a. s. 29 f.).

Socialstyrelsen tog vidare upp frågan om en journal skulle kunna följa patienten genom vårdkedjan alldeles oavsett om denna inbegriper flera vårdgivare eller inte. När det gäller patientjournaler inom den allmänna hälso- och sjukvården fann styrelsen emellertid detta vara omöjligt med tanke på att journalerna utgör allmänna handlingar enligt tryckfrihetsförordningen som myndigheten måste bevara och inte får avhända sig till nästa vårdgivare som kan vara en annan myndighet eller en enskild. Socialstyrelsen pekade också på risken för att uppgifter som behövs vid ett senare vårdtillfälle inte skulle kunna återfinnas. Enligt Socialstyrelsen kan man vid elektronisk journalföring uppnå en journal som följer patienten genom att en kopia av

journalen överlämnas till nästa vårdenhet där den läggs in som en inledning i den nya journalen (a.a. s. 32).

Samverkansutredningen hade i uppdrag att lämna förslag till förbättringar av möjligheterna till samverkan mellan landstingens hälso- och sjukvård och kommunernas vård och omsorg. Deras arbete ledde bl.a. till lagstiftning om gemensamma nämnder inom vård och omsorgsområdet. I sitt betänkande Samverkan – Om gemensamma nämnder på vård- och omsorgsområdet, m.m. redovisade utredningen sina överväganden i sekretessfrågor och dokumentationsfrågor med anknytning till den nämnda samverkan (SOU 2000:114 s. 235 f. och 253 f.). Några författningsförslag lämnades dock inte. Visserligen framkom vissa bekymmer angående tillämpningen av sekretessbestämmelserna i den praktiska hanteringen. Samverkansutredningen hänvisade dock till att frågorna lämpligen borde övervägas av Offentlighets- och sekretesskommittén.

I fråga om dokumentation övervägde Samverkansutredningen om den skulle kunna få ske i en gemensam journal alldeles oavsett vem som svarar för insatsen. Särskilt uppmärksammades frågan om gemensam dokumentation inom vård och omsorg om äldre i särskilda boendeformer och inom hemsjukvården.

Samverkansutredningen bedömde emellertid att en gemensam dokumentation över huvudmannagränser är svår att förena med tryckfrihetsförordningens bestämmelser om allmänna handlingar och att den dessutom skulle strida mot gällande sekretessbestämmelser. När det gäller frågan om tryckfrihetsförordningen anfördes bl.a. som ett problem att frågan om när en handling skall anses allmän utgår från begreppen upprättad och förvarad, när det gäller handlingar som myndigheten själv producerar. Om någon annan upprättat, dvs. producerat handlingen, blir den i stället att anse som inkommen till myndigheten. Enligt utredningen är det tveksamt om det är förenligt med dessa regler att en myndighetsperson från en myndighet i den myndighetens verksamhet upprättar en handling hos en annan myndighet. I vilken myndighets verksamhet är då handlingen upprättad och var skall den anses förvarad? Blir handlingen att anse som upprättad hos den första myndigheten och inkommen till den senare? I så fall måste handlingen också bevaras av den första myndigheten. Samverkansutredningen fann mot bakgrund av det anförda att frågan med dithörande problem låg utanför dess direktiv.

9.4. Våra överväganden

9.4.1. Inledning

Som angetts i avsnitt 9.1 ingår det i uppdraget att analysera förutsättningarna för och nyttan av en för alla vårdgivare sammanhållen patientjournal för varje patient. I detta avsnitt redovisar vi våra bedömningar i dessa hänseenden.

När vi i det följande talar om en sammanhållen patientjournal bör man hålla i åtanke att begreppet patientjournal på en gång är både ett klart avgränsat och ett diffust begrepp. Enligt 2 § patientjournallagen avses i lagen med begreppet patientjournal; ”…de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder (journalhandlingar).”

Begreppet är klart avgränsat i den mening att det avser en viss form av vårddokumentation som utförs till följd av en rättslig förpliktelse att dokumentera informationen. I den bemärkelsen har begreppet juridisk relevans. Det är också klart avgränsat såtillvida att en journal endast kan avse en viss patient.

Mer diffust blir det när man skall ange var en journal börjar och slutar och vad som är en eller flera fristående journaler beträffande en patient. Inte minst gäller det vid elektronisk patientjournalföring i ett informationssystem som är gemensamt för alla vårdenheter och alla journalföringspliktiga yrkeskategorier inom en vårdgivares verksamhet. Så är t.ex. fallet i Norrbottens läns landsting där även folktandvården sedan en tid är ansluten till det gemensamma journal- och vårdadministrativa systemet. Begreppet patientjournal blir som vi ser det i denna bemärkelse snarast en bekväm samlingsbeteckning för alla de olika slags journalhandlingar som, helt och hållet beroende på hur journalföringen är organiserad, med tiden samlas kring en patient.

9.4.2. En journal knuten till patienten

Vår bedömning: Vi avvisar en nyordning som skulle innebära att patienten äger sin journal eller att den inte längre skall vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.

Vi har till en början tagit ställning till de tankar som i dag framförs från flera håll om dels att patienten skall äga eller ha förfoganderätten över sin journal, dels att patientjournalen skall vara knuten till patienten och inte till vårdinrättningen eller vårdgivaren.

En diskussion om äganderätten till journaler och till vem den är knuten ger upphov till en rad frågeställningar av juridiskt komplicerad natur. Exempelvis är begreppet äganderätt i sig tämligen diffust och beskrivs i allmänhet genom en uppräkning av de olika slags rättigheter och inte sällan även skyldigheter som är förenade med just en ifrågavarande äganderätt. För att ta något exempel kan en privatpraktiserande tandläkare med mottagning i egen regi anses i viss utsträckning ha en äganderätt till de patientjournaler som upprättats i mottagningens verksamhet. Tandläkaren kan, t.ex. i samband med att en vårdgivarverksamhet överlåts till annan och med patienternas samtycke överlämna journalerna till en ny vårdgivare, dvs. en ny ägare av mottagningen. I någon mån kan journaler således i vissa fall sägas ha ett förmögenhetsvärde och vara en del i rent affärsmässiga överlåtelsekontrakt.

Handhavandet av journalerna är emellertid kringgärdat av en mängd författningsregler som inkräktar på äganderätten. Exempelvis får läkaren inte förstöra eller förfoga över journalerna på ett sätt som strider mot patientjournallagen eller mot tystnadsplikten enligt lagen om yrkesverksamhet på hälso- och sjukvårdens område. Vi anser det emellertid inte meningsfullt att närmare gå in på de frågor som gäller huruvida man över huvud taget kan tala om äganderätt när det gäller patientjournaler ens i enskild verksamhet. I det följande anges dock några principiella ståndpunkter som vi menar gör det olämpligt att införa en lagstiftning som ger patienterna ett slags äganderätt till journalen eller som innebär att journalen inte längre skall vara knuten till vårdgivaren.

Vår uppfattning är att patientjournaler även fortsättningsvis i första hand skall vara ett arbetsinstrument för hälso- och sjukvårdspersonalen med en god och säker vård som främsta ändamål. Patientsäkerhetsskäl talar också för att de nuvarande grundläggande regler-

na om bl.a. en skyldighet att föra journal som en del av hälso- och sjukvårdspersonalens medicinska yrkesansvar behålls. Vi finner det uteslutet med en s.k. äganderätt för patienterna som skulle innefatta bestämmanderätt över huruvida journal skall föras eller inte och vad den skall innehålla, främst eftersom det skulle innebära oacceptabla risker för patientsäkerheten och försvåra för hälso- och sjukvårdspersonalen att utföra sitt arbete på ett professionellt och ansvarsfullt sätt. Även i fortsättningen bör det i vårdgivarnas och verksamhetschefernas övergripande ansvar för patientsäkerheten i verksamheten ingå ett ansvar för att journalföring kan ske på ett lagenligt sätt och att journalerna hanteras och bevaras under betryggande former. En ordning som innebär att patienten själv förvarar och administrerar sin journal eller sina journaler i dess originalform (på elektroniskt medium eller på papper) går knappast att förena med vårdgivarnas ansvar i detta avseende.

Till detta kommer att journalen även fortsatt kommer att ha betydelse inte bara för patienten själv utan även som underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring för att ta några viktiga exempel på det allmännas intresse av patientjournalerna. I dessa avseenden menar vi att det nu inte finns och inte heller bör finnas någon skillnad mellan allmän och enskild hälso- och sjukvård. Det saknar därför relevans att diskutera en ändring av tryckfrihetsförordningen för att tillförsäkra patienten en äganderätt till sin journal i de bemärkelser som här berörts.

Ett annat sätt att frikoppla journalen från vårdgivaren och i stället låta den följa patienten genom vårdapparaten skulle vara att patientens alla tidigare vårdgivare kan eller måste avhända sig sina journaluppgifter och överlämna dem direkt till nästa vårdgivare som i sin tur förvaltar journalen och fyller på den med nya uppgifter.

Vi menar dock att det inte är lämpligt med en ordning som innebär att vårdgivare endast förvaltar patientjournaler under begränsade perioder. Bl.a. skulle det försvåra olika slags uppföljning av vård. Vidare kan olika slags problem uppstå då patienten har flera samtidigt pågående vårdkontakter med olika vårdgivare, t.ex. en privattandläkare och diabeteskliniken på ett landstingssjukhus. Vi avvisar därför en journalföring enligt den skissade ordningen.

Det kan emellertid påpekas att den beskrivna ordningen skulle i fråga om patientjournaler hos offentliga vårdgivare kräva vissa författningsändringar och undantag från de generella bestämmelserna om allmänna handlingar i t.ex. arkivlagen (1990:782). Det skulle även

kräva författningsändringar för de privata vårdgivarnas verksamhet, eftersom gällande rätt inte heller tillåter dem att avhända sig patientjournaler på det skisserade sättet. Liksom i fråga om äganderätten till journalen är det inte någon avgörande skillnad mellan den allmänna eller enskilda hälso- och sjukvården när det gäller till vem journalen är knuten. Att undanta patientjournaler från tryckfrihetsförordningens tillämpningsområde skulle alltså inte heller i detta avseende skapa en större likhet med den enskilda hälso- och sjukvården.

Däremot syftar våra förslag i det följande till att öppna möjligheterna till att i praktiken få den ordning som motsvarar det som vi tror att man i huvudsak eftersträvar när man talar om att journalen skall följa patienten genom vårdapparaten. Hur detta närmare skall utformas och hur våra förslag närmare förhåller sig till tryckfrihetsförordningen m.fl. författningar utvecklas i avsnitt 9.4.4 och avsnitt 11.

Avslutningsvis kan påpekas att ett alternativ är att de patienter som så vill utrustas med elektroniska journalkopior, i de delar som inte är hemliga i förhållande till patienten själv, exempelvis på ett s.k. smart kort eller minneskort eller annat medium som efter hand kan fyllas på med ny information av nya vårdgivare. I praktiken, men inte i formell mening, uppnår man härigenom en journal som kan följa patienten. Enligt vår uppfattning hindrar dagens reglering – exempelvis vårdregisterlagens reglering om när personuppgifter i ett vårdregister får lämnas ut elektroniskt – inte en sådan ordning, särskilt inte när syftet med den elektroniska kopian är att utgöra ett vårdrelaterat komplement till patientjournalen. Att så inte skett i någon större utsträckning synes bero på andra faktorer, t.ex. tekniska eller administrativa problem, än rent juridiska hinder. I avsnitt 13 kommer vi närmare att behandla frågor om möjligheterna att elektroniskt lämna ut journaluppgifter till patienten själv.

Utredningen om uppföljning inom läkemedelsområdet övervägde om individuella minneskort (smarta kort eller smartcards) skulle kunna fylla funktionen att samla information om patientens läkemedelsförskrivning vid sidan av patientjournalen. Utredningen bedömde emellertid att en skyldighet för förskrivare att påföra kortet uppgifter skulle medföra dubbelarbete för en redan belastad och ofta tidspressad förskrivarkår. Inte heller finns det några garantier för att patienter alltid skulle förete sitt kort vid förskrivning alternativt då läkemedel hämtas ut på apotek, vilket i sig minskar tillförlitligheten till ett i och för sig företett minneskort (SOU 2003:52 s. 89 f.).

Vi instämmer i den nyss nämnda utredningens bedömning i fråga om brister med minneskort eller liknande elektroniska kopior av journalanteckningar som patienten själv handhar. Modellen är alltså inte någon lämplig generell lösning för att åstadkomma högre patientsäkerhet genom bättre informationsförsörjning för vårdgivare som involveras i vården av en enskild patient. Däremot menar vi att modellen med elektroniska kopior kan vara praktisk och till nytta för patientsäkerheten i några sammanhang, exempelvis för personer som reser mycket i sitt arbete eller för kroniker som vill på ett smidigt sätt medta viss medicinsk basinformation vid en utlandsresa. Såsom nyss sagts återkommer vi till frågor om elektroniskt utlämnande till patienter i avsnitt 13. Här kan emellertid erinras om vårt förslag i avsnitt 8.7 om att patientdatalagen skall vara tydligt tillåtande i fråga om utlämnande på medium för automatiserad behandling.

9.4.3. En obligatorisk sammanhållen helhetsjournal

Vår bedömning: I dag saknas grundläggande förutsättningar att inom överskådlig tid införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Vi bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem.

Nyttan

En utgångspunkt i våra överväganden är att det i första hand är förbättrad patientsäkerhet som bör motivera omfattande ändringar i den nuvarande rättsliga regleringen av patientjournalföringen. Ett problem när det gäller att värdera nyttan för patientsäkerheten med en sammanhållen patientjournal är att det saknas breda studier som – avseende den svenska hälso- och sjukvården i stort – storleksmässigt uppskattat vilken inverkan på patientsäkerheten som följer av den nuvarande avsaknaden av sammanhållen, för flera vårdgivare gemensam journalföring eller bristande tillgång på andra vårdgivares tidigare eller samtida vårddokumentation. I debatten om IT i vården påstås ibland att tusentals patienter dör varje år till följd av bristerna i informationsöverföringen. Något underlag för att ta ställning till

sådana påståenden och till i vad mån dödsfallen orsakas av det nuvarande systemet för patientjournalföring har vi inte haft tillgång till. På vissa områden, t.ex. i fråga läkemedelsförskrivningen till äldre, finns emellertid studier som indikerar att förbättrad informationstillgång kan ge en väsentligen bättre vård för den enskilde (se t.ex. Socialstyrelsens publikation Uppföljning av äldres läkemedelsanvändning, 2004-103-19 s. 10). För hälso- och sjukvården totalt sett saknas emellertid riktvärden. De projekt som för närvarande pågår med att knyta samman journalföringen inom ett landstings verksamhet är i huvudsak ännu under utveckling och några närmare utvärderingar i fråga om konkreta effekter på patientsäkerheten saknas än så länge. Någon analys av hur mycket patientsäkerheten kan antas öka med en för alla vårdgivare sammanhållen journal för varje patient är mot denna bakgrund inte möjlig att göra.

Vi menar emellertid att man kan göra vissa antaganden i fråga om nyttan för bl.a. patientsäkerheten med en sammanhållen journal.

Enligt vår uppfattning kan man utgå från att ett väl fungerande informationssystem vari alla journalanteckningar om en patient samlas i strukturerad form har en stor nyttopotential. Nytta kan antas uppstå både på det individuella planet i bemärkelsen nytta för patienten och på ett mer allmänt plan i bemärkelsen nytta för verksamheten som sådan och därmed nytta för samhället i stort. Med en journal som läggs upp för en individ i samband med hans eller hennes födelse, alternativt vid annan första kontakt med svensk sjukvård, och sedan fylls på fram till dess patienten avlider, blir den potentiella tillgången till journalinformation optimal.

Förutsatt att uppgifterna är korrekta och lätt åtkomliga torde patientsäkerheten generellt sett öka vid alla kommande vårdtillfällen. Exempelvis skulle felbehandlingar som har sitt upphov i bristande tillgång till information, t.ex. om svåra allergier eller kroniska sjukdomar, som faktiskt finns dokumenterad hos en annan vårdgivare i princip inte behöva förekomma. Samtidigt måste understrykas att det sagda verkligen kräver ett exakt och gemensamt journalspråk samt gemensamma rutiner och strukturer som alla håller sig till. Som kommer att beröras nedan kan annars befaras att nya risker för patientsäkerheten uppstår.

Olika vårdgivares eller vårdenheters samarbete kring vården av en patient skulle kunna underlättas och effektiviseras betydligt med en gemensam journal. Många patienter skulle kunna slippa onödiga undersökningar, medicineringar och omtagningar av prover för att ta några exempel. Samma sjukdomshistorik skulle inte behöva upp-

repas igen och igen på varje ny vårdenhet, något som det i dag ofta framförs klagomål på från patienter eller deras anhöriga. Vi vill här dock erinra om att dessa upprepade frågor, som av lekmannen kan uppfattas som onödiga, är en viktig metod för läkare att under sitt medicinska yrkesansvar själv bilda sig en uppfattning och få olika antaganden bekräftade. Att helt förlita sig på dokumenterade uppgifter är inte förenligt med de krav som ställs på de legitimerade yrkesutövarna.

En gemensam journal ger vidare ett mångt bättre verktyg att följa upp och analysera de samlade vårdinsatserna för patienten än en patientjournal som är begränsad till den egna vårdenhetens insatser.

En sammanhållen journal torde vidare – om den administreras och organiseras väl – avlasta hälso- och sjukvårdspersonalen från mycket onödigt administrativt arbete. Exempelvis läggs i dag mycket tid och resurser på ”dubbeldokumentation” och omständligt informationsutbyte med personal hos andra vårdgivare, resurser som man skulle kunna spara in på. Hälso- och sjukvården skulle därmed kunna möta de krav på effektivisering av verksamheten som redan ställs och som av allt att döma kommer att accentueras i framtiden. Nyttan för samhället och i förlängningen för kvaliteten i vården torde således kunna bli stor.

En nationell, eller en regional, livslång patientjournal i ett sammanhållet informationssystem med strukturerade journalanteckningar enligt en enhetlig begrepps- och terminologiapparat skulle därutöver vara mycket värdefull som basmaterial för all slags forskning, kvalitetssäkring av hälso- och sjukvården, ekonomisk uppföljning och liknande sekundära ändamål, dvs. ändamål som inte direkt syftar till vård av den enskilda patienten. Informationssystemet skulle ju omfatta uppgifter om praktiskt taget hela befolkningen. Det är inte en orimlig tanke att de nuvarande hälsodataregistren hos Socialstyrelsen och Läkemedelsverket samt de nationella kvalitetsregistren skulle tappa något i betydelse, eftersom så mycket information redan skulle finns samlad i ett heltäckande journalsystem där den är potentiellt tillgänglig för olika slags sammanställningar som behövs för analyser m.m. Det sagda gäller oberoende av huruvida informationssystemet tekniskt sett upprättas som en gemensam databas eller som decentraliserat, hos varje vårdgivare lagrade journalanteckningar så länge som uppgifterna totalt sett är kompatibla och sammanställningsbara. Ökade möjligheter till sekundär användning av journaluppgifterna torde i förlängningen kunna bidra till en ökad kvalitet

och effektivitet i hälso- och sjukvården som i sig ökar patientsäkerheten vid det enskilda vårdtillfället.

Förutsättningar

Även om antagandena ovan om nyttan med en för samtliga vårdgivare sammanhållen journal för varje patient skulle vara korrekta, krävs enligt vår mening att en rad förutsättningar är uppfyllda för att det skall vara lämpligt och rimligt med en författningsreglering som föreskriver en sådan sammanhållen journalföring som en obligatorisk ordning eller som huvudregel.

Man måste i sammanhanget betänka att hälso- och sjukvården har en organisatoriskt komplicerad och splittrad struktur. Huvudmannaskapet delas mellan landsting och kommuner som var och en är en självständig vårdgivare. Därutöver finns privata vårdgivare med i sin tur mer eller mindre komplexa strukturer. Vissa privata vårdgivare är relativt stora organisationer. Ett exempel är Praktikertjänst AB som i formell mening är en vårdgivare vari ingår drygt 2 000 separata mottagningar/vårdenheter spridda över landet. Andra privata vårdgivare är mycket små, t.ex. en deltidsarbetande psykoterapeut som i enskild firma bedriver hälso- och sjukvård endast med en handfull patienter. När man talar om en för alla vårdgivare gemensam journal, är det alltså fråga om väldigt många vårdgivare med sinsemellan vitt skilda omfattning och verksamhetsinriktning; från Stockholms läns landsting med omkring 40 000 anställda inom hälso- och sjukvården, inklusive tandvården, till en privatpraktiserande specialistläkare eller kiropraktor i mindre skala utan någon anställd personal.

Hur stort antal vårdgivare inom vars verksamhet patientjournaler måste föras har visat sig vara en omöjlig uppgift att ta fram. Socialstyrelsen för visserligen enligt 6 kap. 20 § lagen om yrkesverksamhet på hälso- och sjukvårdens område ett automatiserat register över hälso- och sjukvårdsverksamheter som står under Socialstyrelsens tillsyn och som anmälts enligt bestämmelserna i 6 kap. 6–8 §§ samma lag. Kvaliteten i registret är emellertid enligt uppgift från Socialstyrelsen mycket bristfällig. Den dåliga kvaliteten beror på att många vårdgivare brister såväl i att göra anmälningar som i att avanmäla upphörda verksamheter. För närvarande innehåller registret drygt 9 200 vårdgivare med unika organisationsnummer eller personnummer. Som framgår av det nyss sagda finns det dock ett okänt antal vårdgivare som inte har anmält sin verksamhet. Likaså torde ett okänt

antal av de anmälda firmorna inte längre bedriva någon verksamhet, exempelvis på grund av pensionering eller fusion med annan juridisk person. Men även om det inte går att närmare precisera hur många vårdgivare i vars verksamhet yrkesutövare för patientjournal, kan man dra slutsatsen att det är ett mycket stort antal privata vårdgivare som måste knytas samman i ett med landstingen och kommunerna gemensamt journalföringssystem för att man skall kunna tala om en för samtliga vårdgivare gemensam journal.

En grundläggande förutsättning för ett gemensamt system är att all journalföring sker elektroniskt. I dag är datoriseringen av hälso- och sjukvården långt ifrån heltäckande. Inom såväl allmän som enskild hälso- och sjukvård är det primärvården som kommit längst i fråga om elektronisk journalföring. Den är i princip fullständigt genomförd. I övrigt skiftar datoriseringsgraden mellan olika slags verksamheter och dokumentationsslag. En jämförelse mellan landstingen visar även på regionala skillnader i hur långt framme man är när det gäller IT-stöd i verksamheten. Utvecklingen går emellertid mycket snabbt och man bör kunna förutsätta att i huvudsak all journalföring kommer att ske elektroniskt inom en snar framtid.

Det sagda innebär dock inte att vi anser att tiden är mogen för att nu lagstiftningsvägen tvinga vårdgivarna till en gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Skälen härför är flera.

Ett tungt vägande skäl är att det för närvarande saknas tekniska förutsättningar för att knyta samman vårdgivarnas befintliga journalföringssystem i ett informationssystem eller att ersätta dem med ett helt nytt gemensamt elektroniskt system. Bara inom landstingen sägs det finnas över 300 olika datoriserade journalsystem som inte är kompatibla med varandra. Visserligen pågår på sina håll, t.ex. i Stockholms läns landsting och i Landstinget i Uppsala län, ett intensivt arbete med att knyta samman olika journalsystem i ett landstingsgemensamt journalföringssystem med en enhetlig informationsstruktur. Det skall också nämnas att i Norrbottens läns landsting har man praktiskt taget redan genomfört en enhetlig och sammanhållen elektronisk journalföring i hela landstinget. Troligen skulle man lagstiftningsvägen i viss utsträckning kunna påskynda utvecklingen, men det är ändå högst osäkert när det tekniskt blir möjligt att, med rimliga ekonomiska investeringar, på bred front samla ens landstingens totala journalföring i ett system för sammanhållna journaler som uppfyller de säkerhetskrav m.m. som måste ställas på hante-

ringen. Än längre tid kommer det att ta innan det blir möjligt att också infoga kommunerna och alla tusentals privata vårdgivare häri.

Bristen på enhetlighet i informationsstrukturen är ett annat problem i sammanhanget. Även här bedrivs ett arbete, sedan en tid på nationell nivå, med att ta fram en enhetlig informationsstruktur för hälso- och sjukvården med bl.a. gemensamma standarder. Sådana gemensamma standarder kan t.ex. röra till synes enkla saker som hur man skriver ett datum på ett enhetligt sätt. Även om detta arbete intensifierats och konsoliderats parallellt med vårt arbete, se avsnitt 3.4.2, är det vår bedömning att det arbetet inte inom de närmaste åren kan ge resultat som är heltäckande för all journalföring inom hälso- och sjukvården.

Ett annat tungt vägande skäl mot en tvångslagstiftning i dag är att det ännu saknas ett för hälso- och sjukvården enhetligt journalspråk. En unison begrepps- och terminologiapparat finns inte. Vidare saknas en gemensam metod för hur uppgifterna skall dokumenteras i en journal på ett strukturerat och konsekvent sätt. Utan enhetlighet i dessa avseenden är det i hög grad tveksamt om en sammanhållen journal ger någon nämnvärd nytta. Tvärtom kan bristande enhetlighet befaras medföra nya risker för patientsäkerheten genom att tidigare dokumentation missförstås vid en senare vårdkontakt i den mån personalen vid det senare tillfället alls vågar lägga tidigare uppgifter till grund för egna bedömningar och beslut. Liksom i fråga om informationsstruktur pågår visserligen arbete inom Socialstyrelsen med att normera begrepp och termer. Men även detta arbete kommer att ta tid. Det går inte nu att bedöma när detta arbete blir heltäckande så att det omfattar all slags information som journalförs inom landet.

Effektivitetsvinsterna av en sammanhållen journal är vidare beroende av att det finns sofistikerade sök- och sammanställningsmöjligheter som vid varje specifikt vårdtillfälle automatiskt skiljer ut vad som är relevant information i det givna ögonblicket. I annat fall är risken stor för att vårdpersonalen drunknar i en oöverblickbar informationsmängd avseende en enda patients samtliga vårdtillfällen som tar sin början i dokumentationen från förlossnings- och barnavården. Det i sin tur kan leda till nya problem med onödigt administrativt arbete bl.a. på grund av att det kan uppstå osäkerhet kring hur mycket arbete man måste lägga ner på att gå igenom tidigare dokumentation för att inte anses brista i sitt medicinska yrkesansvar. Om man inte snabbt hittar den information man letar efter, finns det också risk för dubbeldokumentation.

Någon lösning på de problem som här påtalats finns inte framtagen ännu. Utan en sådan lösning menar vi att behovet av en för alla vårdgivare gemensam journal inte överväger de nackdelar som de nämnda bristerna genererar.

Med tanke på alla de olösta problemen som berörts i det föregående ter det sig som en omöjlig uppgift att närmare beräkna vilka ekonomiska resurser som krävs för att man skall kunna införa för samtliga vårdgivare sammanhållna journaler. Vi avstår därför från att framföra tankar om storleken på nödvändiga investeringar och om hur en finansiering skulle kunna ske eller vilka ekonomiska konsekvenser som kan uppstå för små och stora vårdgivare.

Slutsatser

Såsom framgår av det föregående saknas i dag de grundläggande förutsättningarna för att inom överskådlig tid införa en för samtliga vårdgivare sammanhållen journal. Redan mot den bakgrunden finner vi det omöjligt att genom lagstiftning ställa krav på att patientjournaler generellt sett skall föras sammanhållet för varje patient. Vårt förslag är således att det inte införs någon författningsreglering som utgår från en för alla vårdgivare sammanhållen journal, vare sig som obligatorium eller som huvudregel. Det sagda gäller såväl sammanhållen journal på nationell nivå som på landstingsnivå.

Vi menar därutöver att det alldeles bortsett från de bristfälliga förutsättningarna inte heller framstår som klart ändamålsenligt att nu skapa en för alla vårdgivare sammanhållen journal, i vart fall inte för ändamålet vård av patienter. En omständighet som vi därvid beaktat är att man vid våra kontakter med företrädare för hälso- och sjukvårdens journalförare många gånger framhållit att det i första hand inte är gemensam journalföring i sig som efterfrågas utan snarare en möjlighet att vid behov kunna elektroniskt få tillgång till (och eventuellt på ett smidigt sätt får kopior av) andra vårdgivares information som man bedömer kunna vara till nytta i det egna arbetet. Förutom vissa medicinska basfakta såsom uppgifter om allvarliga allergier, kroniska sjukdomar, pågående behandlingar, aktuella provtagningar m.m. synes behovet i vardagssjukvården i allmänhet klinga av ju äldre informationen blir. Givetvis förekommer det att även gamla eller till synes perifera journalanteckningar har betydelse vid ett senare vårdtillfälle, men antalet fall torde volymmässigt vara i sammanhanget litet.

Den breda enkätundersökning bland allmänheten som vi låtit Statistiska Centralbyrån utföra under år 2005, ger visserligen vid handen att det hos allmänheten finns en i huvudsak positiv attityd till införandet av en enda sammanhållen patientjournal. Vi menar dock att det finns betydande risker med att i ett slag införa ett omvälvande systemskifte och en lagstiftning som innebär att all hälso- och sjukvårdsinformation om i princip hela befolkningen samlas i en enda livstidsjournal för varje enskild individ; en journal som i princip och tekniskt sett är sök- och sammanställningsbar och till vilken alla vårdgivare är, i vart fall potentiellt sett, anslutna. Även om informationen kringgärdas av säkerhetssystem och tillförlitliga behörighetssystem, kan man inte utesluta att förtroendet för hälso- och sjukvården naggas i kanten, i vart fall hos vissa patientkategorier. I dag finns det patienter som vid vissa särskilda tillfällen väljer en privat vårdgivare just av den anledningen att man ställer krav på i det närmaste total diskretion och därför inte vill förekomma i de stora vårdgivarnas informationssystem. Den möjligheten skulle försvinna med en för alla vårdgivare sammanhållen journal. Det kan här nämnas att vår enkätundersökning visar att omkring 50 procent känner viss oro och att omkring 18 procent anser att integritetsriskerna överväger och är därför negativa till en enda journal.

Man kan också förvänta sig att de heltäckande livstidsjournalerna genererar en radikalt ökad efterfrågan på journaluppgifter från externa intressenter såsom försäkringsbolag, presumtiva arbetsgivare m.fl., vilket i sig kan skapa oro hos enskilda. I värsta fall kan ett försämrat förtroende hos allmänheten få allvarliga följder för patientsäkerheten, nämligen om patienter undanhåller integritetskänsliga men viktiga uppgifter vid kontakter med hälso- och sjukvården eller t.o.m. avstår från vård. Det finns även en risk för att enskilda yrkesutövare av hänsyn till patienter blir alltför återhållsamma i sin journalföring, vilket även det kan få negativ återverkan på patientsäkerheten.

Vi tror att allmänhetens förtroende för hälso- och sjukvården bevaras och kanske till och med ökar med en mer successiv utveckling där lagstiftningsreformer om obligatorisk sammanhållen journalföring kan föregås av noggranna utvärderingar – bl.a. utifrån integritets-, effektivitets- och patientsäkerhetsaspekter – av t.ex. sådana stora landstingsgemensamma journalsystem som nu planeras eller enbart har varit i drift under kortare tid. Redan nu finns det erfarenheter att ta till vara från sådana arbeten. Dessa erfarenheter visar att det handlar om ett mycket komplext arbete som inte alltid är problemfritt. Införandet har t.ex. ibland medfört nya slags risker för patient-

säkerheten och har ibland också varit förenat med mycket administrativt merarbete för personalen. Som framgår av följande avsnitt, ingår i våra förslag en öppnad möjlighet för flera vårdgivare att skapa elektroniska system för sammanhållen journalföring som innebär åtkomlighet till information över administrativa och formella gränser. Den möjligheten kommer troligen att medföra att vårdgivare inom en ganska snar framtid kan bygga upp gemensamma journalföringssystem. Det är vår bedömning att så kommer att ske stegvis inom vissa områden, geografiskt eller verksamhetsmässigt. Även dessa gemensamma journalföringssystem får givetvis följas upp och utvärderas utifrån olika aspekter innan det bör bli aktuellt att överväga en lagstiftning om en enda patientjournal per individ men gemensam för alla vårdgivare.

9.4.4. En obligatorisk sammanhållen journal av mer begränsat slag

Vår bedömning: Det är osäkert om och i så fall när en sammanhållen patientjournal av mera begränsat slag skulle kunna genomföras. Vi föreslår därför ingen skyldighet att på något område föra journal över vårdgivargränser.

Vi har övervägt om det finns anledning att föreslå en mer begränsad obligatorisk patientjournal baserad på något befintligt projekt eller register, t.ex. Carelinks Nationella Patientöversikt eller den databas för elektronisk vaccinationsjournalföring och patientadministration som bedrivs i projektet SVEVAC, lett av Smittskyddsinstitutet. Ett ytterligare alternativ som diskuterats är en obligatorisk och heltäckande läkemedelsjournal för både förskrivningar och ordinationer. Även dessa alternativ kräver vissa tekniska, organisatoriska och andra förutsättningar som gör dem svåra att införa som en obligatorisk ordning inom överskådlig tid. Som anfördes i förra avsnittet bör, menar vi, också de projekt som nu pågår och även resultaten av den nya läkemedelsförteckning som Apoteket AB för enligt lagen om läkemedelsförteckning följas upp och utvärderas, innan en obligatorisk och sammanhållen patientjournal av mer begränsat slag bör införas. Vi lämnar alltså inget förslag om en sådan.

9.4.5. Öppnade möjligheter till sammanhållen journalföring över vårdgivargränser

Vårt förslag: Vi öppnar en möjlighet för vårdgivare att på frivillig basis föra journal i en gemensam databas eller i annat gränsöverskridande elektroniskt system, som gör det möjligt för hälso- och sjukvården att ge och få direktåtkomst till patientuppgifter som journalförts hos annan vårdgivare.

Avvisandet i det föregående av en författningsreglering som föreskriver att bara en sammanhållen journal per patient skall föras, innebär inte att vi kastar ut barnet med badvattnet. Tvärt om ställer vi oss i huvudsak positiva till mycket av det utvecklingsarbete som nu pågår med att skapa förutsättningar för bredare journalsystem och effektivare informationsutbyte inom hälso- och sjukvården. Vi bedömer emellertid att utvecklingen gagnas av att detta arbete sker utan statlig styrning i form av tvingande lagstiftning om att bara en enda journal skall föras inom hela eller delar av hälso- och sjukvården. Att genom lagstiftning initiera en sammanhållen journalföring med olika slags rättsliga krav, riskerar att låsa fast utvecklingen vid lösningar för en sammanhållen journalföring som inte är hållbara på sikt eller som inte smidigt kan anpassas till skilda slag av verksamheter eller till förändringar i dessa.

En bättre väg att gå är, enligt vår mening, att lagstiftaren öppnar möjligheter till sammanhållen journalföring baserad på frivillig samverkan mellan sjukvårdshuvudmännen och övriga vårdgivare. I vart fall menar vi, som framgått redan i det förra avsnittet, att den vägen framstår som det enda på kortare sikt realistiskt möjliga och lämpliga alternativet. Med sammanhållen journalföring menar vi system som möjliggör att vårdgivare kan ge och få direktåkomst till varandras journaluppgifter och till andra patientuppgifter som behandlas för ändamålet vårddokumentation. Vad direktåkomst innebär har berörts i avsnitt 8.7.

Vi föreslår således en författningsreglering som uttryckligen tillåter att journalföring sker sammanhållet även över vårdgivargränser. Vårt förslag innebär vidare att regleringen ger ett tydligt stöd för fortsatt uppbyggnad av informationssystem varigenom smidigt elektroniskt informationsutbyte mellan vårdgivare kan äga rum. Samtidigt är det vår uppfattning att regleringen inte skall styra över vilka slags tekniska lösningar eller organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Vår utgångspunkt för regleringen i dessa

avseenden är i stället att skapa rättsliga garantier för att informationshanteringen vid sammanhållen journalföring inte inkräktar på de berättigade krav på hög patientsäkerhet och ett tillfredsställande skydd för personlig integritet som enskilda och samhället ställer. Vidare är det vår utgångspunkt att regleringen utformas så att inget nytt administrativt merarbete uppstår som helt förtar den nytta man i övrigt får av förbättrade möjligheter till IT-användning vid kommunikation mellan hälso- och sjukvårdens olika aktörer.

En annan viktig del i våra förslag är att en sammanhållen journalföring inte behöver avse all journalföring utan kan alternativt avse delar av det som skall dokumenteras i en patientjournal. En sådan partiell sammanhållen patientjournalföring torde i många fall vara i hög grad ändamålsenlig. I de kontakter som utredningen haft med företrädare för hälso- och sjukvården har bl.a. framkommit att det framförallt är viss information som man återkommande har behov av att få kännedom om, såsom aktuella läkemedelsordinationer, provsvar m.m. Våra förslag syftar till att ge vårdgivarna möjlighet att bygga upp system i vilket kanske bara medicinska basfakta är gemensamt tillgängliga, t.ex. i en för ett landstingsområde eller en sjukvårdsregion sammanhållen läkemedelslista eller portal. Ett annat exempel är det nationella informationssystemet för patientjournalföring m.m. av vaccinationer som för närvarande utvecklas i Smittskyddsinstitutets projekt SVEVAC. Även sådana gränsöverskridande patientöversikter som innehåller både journalinformation och mer administrativa personuppgifter kommer att kunna byggas upp med stöd av patientdatalagens bestämmelser om sammanhållen journalföring.

Mot bakgrund av det sagda framgår således att det med en för flera vårdgivare sammanhållen journalföring kan avses väldigt många skilda slags konstruktioner av olika omfattning och innehåll. I vilken omfattning vårdgivarna med en öppnare lagstiftning kommer att bygga upp system för sammanhållen journalföring liksom, i förekommande fall, hur dessa tekniskt och organisatoriskt kommer att byggas upp återstår att se. Man kan givetvis tänka sig många olika varianter. I det följande laborerar vi med några typvarianter av för ett antal offentliga (landsting och kommuner) och privata vårdgivare sammanhållen journalföring, nämligen följande.

1) Journaler förs och lagras i sammanhållen form i en gemensam

och centralt administrerad databas till vilken alla vårdgivare är anslutna och så att säga inrapporterar till och hämtar information från.

2) Journaler förs separat hos respektive vårdgivare, men i ett för

vårdgivarna gemensamt informationssystem för journalföring, gemensamt i den bemärkelsen att systemet innebär att åtkomst till varandras journaluppgifter ges eller kan ges på automatiserad väg.

Dessa typvarianter kan naturligtvis i sig administreras och tekniskt organiseras på en rad olika sätt, vilket bl.a. kan få betydelse för vilka rättsliga slutsatser som i ett enskilt fall kan dras i frågor såsom exempelvis när och på vilket sätt en journalhandling blir allmän handling hos en ansluten myndighet. Det kan även få betydelse för hur arkivansvaret och personuppgiftsansvaret bör organiseras vid sammanhållen journalföring. Till dessa frågor återkommer vi i avsnitt 11. Gemensamt för varianterna är att de bygger på att direktåtkomst till varandras journalhandlingar och annan vårddokumentation kan ges och fås.

Samtidigt bör regleringen av journalföringen tillåta också mer traditionell journalföring, som begränsar sig till en vårdenhets eller en vårdgivares verksamhet. Vi kan nämligen inte utesluta att sådan journalföring även i framtiden kommer att vara ändamålsenlig på en del områden. Av samma skäl anser vi inte heller att manuell journalföring, dvs. journalföring på papper, skall förbjudas. I avsnitt 11 redogör vi översiktligt för våra förslag i fråga om öppnade möjligheter till sammanhållen journalföring. För den närmare regleringen av patientjournalföringen hänvisas till avsnitt 10. Se även författningskommentaren i avsnitt 21.

10. En ny reglering av patientjournalföringen

10.1. Vårt uppdrag

I vårt uppdrag ingår att särskilt se över bestämmelserna i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) samt lämna förslag till ändringar i dessa eller, om vi finner det mer lämpligt, till en ny författningsreglering.

Uppdraget innefattar uttryckligen följande frågeställningar. Vi skall analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal för varje patient, på nationell nivå eller på landstingsnivå. I det fall en sammanhållen journal inte föreslås, skall vi granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom enskild och allmän hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna används eller bör få användas. Dessa frågor behandlar vi i avsnitt 9, 11 och 14.

Vi skall vidare se över möjligheterna för patienten att via Internet få ta del av uppgifter om sig själv. Denna fråga behandlar vi i avsnitt 13. I samband härmed behandlar vi patientjournallagens bestämmelser om patientens rätt att ta del av sin journal.

Slutligen skall vi utreda om bestämmelserna om språk vid journalföring tillgodoser patienternas rätt att kunna ta del av sin journal och i förekommande fall lämna förslag till lämplig reglering.

Enligt direktiven skall vi ha som utgångspunkt att all journalföring i framtiden i huvudsak skall vara elektronisk.

Vi har uppfattat direktiven så att det i vårt uppdrag inte ingår att närmare pröva de materiella bestämmelserna i patientjournallagen annat än i de delar som är kopplade till ovan angivna frågor eller som påverkas av att journalföringen är elektronisk. Vi har således inte gjort någon närmare översyn av bestämmelserna om t.ex. journalföringsplikten.

Vi återkommer i avsnitt 11 till hur bestämmelserna om patientjournalföring förhåller sig till våra förslag om sammanhållen journalföring.

Beträffande patientjournallagens bestämmelse om inre sekretess hänvisas till avsnitt 12.

10.2. Nuvarande patientjournallag och vårdregisterlag

10.2.1. Patientjournallagen

Före patientjournallagens införande den 1 januari 1986 fanns ingen generell författningsreglering av patientjournalföringen och inte heller någon allmänt accepterad definition på vad som utgör en patientjournal. För ett fåtal personalgrupper och för vissa verksamhetsformer inom hälso- och sjukvårdsområdet fanns dock författningsreglering i form av ett mycket stort antal förordningar och myndighetsföreskrifter. För att ta något exempel fanns bestämmelser om att läkare i den öppna vården var skyldig att föra journal. Någon skyldighet för läkare inom sluten vård att föra journal fanns dock inte. Enhetliga bestämmelser om vad en journal skulle innehålla fanns över huvud taget inte. Patientjournallagens införande innebar alltså en stor reform i riktning mot en mer enhetlig patientdokumentation inom hälso- och sjukvården.

Patientjournallagen bygger väsentligen på det förslag till lag om patientjournaler som lämnades av Journalutredningen i dess huvudbetänkande Patientjournalen (SOU 1984:73). Journalutredningen angav att den såg sitt uppdrag som ett led i det vid den tiden omfattande reform- och lagstiftningsarbetet på hälso- och sjukvårdens område som förenklat kan sägas ha inneburit åtgärder för att öka säkerheten och stärka patientens ställning i vården samt föra över uppgifter och beslutsbefogenheter från staten till landstingen (a. bet. s. 11).

I patientjournallagen finns de grundläggande bestämmelserna om all patientjournalföring inom hälso- och sjukvården. Lagen gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt.

I 1 § patientjournallagen anges att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. En patientjournal är individuell

och skall föras för varje enskild patient. Den får inte vara gemensam för flera patienter.

Journalen består, enligt 2 § patientjournallagen, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling.

Patientjournallagen innehåller därutöver bestämmelser om patientjournalens innehåll, utformning och hantering (3–7 §§) och vilka yrkeskategorier som är skyldiga att föra journal och på begäran av patienten utfärda intyg om vården (9 och 10 §§). Vidare finns bestämmelser om hur journalhandlingar skall bevaras (8 §), om omhändertagande och återlämnande av patientjournaler (11–14 §§) och om offentlighet och sekretess inom enskild hälso- och sjukvård (16 §). I fråga om offentlighet och sekretess inom den allmänna hälso- och sjukvården finns hänvisningar till tryckfrihetsförordningen och sekretesslagen (1980:100). Slutligen bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela ytterligare föreskrifter (18–20 §§).

Lagen kompletteras av en rad författningar, främst föreskrifter och allmänna råd från Socialstyrelsen. Ett exempel är Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen vilka är av stor betydelse, eftersom de gäller generellt för all journalföring inom hälso- och sjukvården. Därutöver finns ett antal särskilda föreskrifter om journalföring inom specifika verksamhetsområden, t.ex. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1989:12) om tillämpningen av patientjournallagen (1985:562) inom skolhälsovården. Vidare finns bestämmelser varav följer att patientjournaler skall föras även i annan medicinsk verksamhet än hälso- och sjukvård, se t.ex. 2 § lagen (2001:499) om omskärelse av pojkar.

På regeringens uppdrag gjorde Socialstyrelsen under år 2000 och 2001 en utvärdering och översyn av patientjournallagen. Enligt uppdraget skulle i utvärderingen ingå en analys av kraven på och formerna för journaldokumentationen. Utifrån denna utvärdering skulle Socialstyrelsen föreslå de förändringar och den författningsreglering som är påkallade mot bakgrund av den utveckling som har ägt rum inom hälso- och sjukvården. Översynen resulterade i en skrivelse till regeringen i december 2001, Patientjournallagen – En översyn med förslag till författningsändringar. I skrivelsen lämnades förslag till ett flertal sakliga ändringar i patientjournallagen. De mer väsentliga

förslagen redovisas i avsnitten nedan. Flera av förslagen bygger vidare på erfarenheter och analyser som Socialstyrelsen gjorde i en tidigare utredning om administrationen i vården. Utredningen lämnade i januari 2000 rapporten Omfattningen av administration i vården. I rapporten lämnades ett flertal förslag som alla syftade till att få bort onödig administration i vården.

10.2.2. Vårdregisterlagen

Patientjournallagen är, som tidigare nämnts, teknikneutral. Till den del journalföring sker elektroniskt är även bestämmelserna i vårdregisterlagen och personuppgiftslagen (1998:204) tillämpliga.

Enligt 1 § vårdregisterlagen får den som bedriver vård utföra automatiserad behandling av personuppgifter i vårdregister. Med vård avses vård enligt hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).

Vårdregisterlagen omfattar register som förekommer inom vårdens individinriktade verksamhet. Enligt 3 § får personuppgifter i ett vårdregister behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall (3 § vårdregisterlagen). Personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister får även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning (4 § vårdregisterlagen).

Ett vårdregister får innehålla dels uppgifter som skall ingå i en patientjournal, dels andra uppgifter som antecknas i och för vården av patienter eller som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 § vårdregisterlagen).

I vårdregisterlagen finns därutöver bestämmelser om i vad mån uppgifter får hämtas till ett vårdregister från andra register genom samkörning (6 §), i vad mån direktåtkomst till uppgifter i ett vårdregister får medges (8 §) samt i vad mån uppgifter får lämnas ut från ett vårdregister på medium för automatiserad behandling (9 §). Vidare finns bestämmelser om att vissa sökbegrepp inte får användas (7 §)

samt om vilken information om personuppgiftsbehandlingen som måste lämnas till en registrerad (11 §).

När det gäller patientjournalhandlingar som ingår i ett vårdregister finns hänvisningar till bestämmelser i patientjournallagen om bevarande och gallring, om begränsningar i fråga om utlämnande av personuppgifter och om begränsningar i skyldigheten att vidta rättelse m.m. Hänvisningar finns också till sekretesslagen och, i fråga om rättelse och skadestånd, till personuppgiftslagen.

Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen). Personuppgiftslagen gäller dock inte i den mån avvikande bestämmelser finns i annan lag eller förordning.

10.3. Våra utgångspunkter

Vårt huvuduppdrag är att lämna förslag till en väl fungerande och sammanhängande reglering av behandlingen av personuppgifter inom hälso- och sjukvården. I detta syfte har vi i avsnitt 7 föreslagit att det skall införas en ny lag – patientdatalagen – med generellt tillämpliga bestämmelser om journalföring och annan personuppgiftsbehandling inom hälso- och sjukvården. Förslaget innebär bl.a. att bestämmelserna i patientjournallagen och vårdregisterlagen skall arbetas in i den nya lagen. Vi skall därutöver göra en översyn av patientjournallagen i den utsträckning som redogjorts för i avsnitt 10.1.

En utgångspunkt för våra överväganden och förslag skall enligt direktiven vara att hanteringen av personuppgifter inom hälso- och sjukvården skall säkras samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skall stärkas. En annan utgångspunkt skall vara att all journalföring i framtiden i huvudsak är elektronisk.

Patientjournalföringen är av fundamental betydelse för vård- och behandlingsarbetet inom hälso- och sjukvården. Dokumentationen av olika åtgärder kan vara helt avgörande för patientsäkerheten. Om vårdgivare kan ha direktåtkomst till varandras journaler som vi föreslår skall vara möjligt, får dokumentationen rimligen ännu större betydelse än i dag. Fler personer blir då involverade i journalföringen beträffande en patient. Till detta kommer att uthyrning av personal från bemanningsföretag kraftigt har ökat under senare tid och inte

minst den större rörligheten hos både patienter och personal man märkt under senare år.

Det är mot denna bakgrund viktigt att regleringen på området är enkel och att den är anpassad till framtida förhållanden. Kravet på en klar och tydlig reglering ökar då väldigt många personer skall anteckna journaluppgifter i samma journal. Sjukhusgemensamma journaler kan redan i dag innehålla en mängd journaluppgifter från olika kliniker. Vid sammanhållen journalföring blir det än viktigare att journalspråket är enhetligt, dvs. att de begrepp och termer som används är gemensamma.

En viktig utgångspunkt är också att regleringen inte föranleder onödigt administrativt arbete för hälso- och sjukvårdspersonalen. Detta förutsätter att journalföringen framöver blir mer enhetlig. Samma journaluppgifter bör vidare om möjligt bara noteras en gång. Dubbeldokumentation tynger journalerna och gör dem svårtillgängliga. En annan viktig fråga i sammanhanget är journalernas struktur. En enhetlig struktur underlättar för den som skall journalföra något att konstatera huruvida en uppgift redan finns antecknad i journalen och alltså inte behöver journalföras på nytt.

Det ligger i sakens natur att en lagreglering på området inte kan göras uttömmande. Verksamheten på hälso- och sjukvårdsområdet är för komplex för att man i lag skall kunna reglera journalföringen i detalj. Lagstiftningen kan därför bara innehålla de väsentligaste reglerna. Det måste bli en ramlagstiftning. Lagreglerna måste liksom i dag kompletteras med bl.a. föreskrifter och allmänna råd om hur journaler i detalj skall föras. Vidare måste det i viss mån vara en uppgift för hälso- och sjukvårdspersonalen att närmare utveckla en praxis på området.

Vi vill i detta sammanhang också särskilt peka på Socialstyrelsens viktiga arbete med att ta fram en enhetlig informationsstruktur inom hälso- och sjukvården med bl.a. gemensamma standarder. En förutsättning för sammanhållen journalföring är att det finns en enhetlig informationsstruktur, dvs. att dokumentationen följer vissa gemensamma regler som gör det möjligt för de olika vårdgivarnas IT-system att effektivt hantera informationen. En annan förutsättning för sammanhållen journalföring är att det finns en för hälso- och sjukvården gemensam begrepps- och terminologiapparat. Här vi vill framhålla Socialstyrelsens viktiga arbete rörande normering av begrepp och termer. Vi tror också att det är viktigt att man i framtiden försöker skapa kompatibla journalsystem. Därigenom skulle man minska de

tekniska hinder som i dag finns för överföring av information mellan olika vårdenheter eller vårdgivare.

10.4. Närmare om den nya regleringens innehåll

10.4.1. Allmänt

I enlighet med vårt förslag i avsnitt 7 skall regleringen av patientjournalföringen ingå i den nya patientdatalagen.

Liksom tidigare bör bestämmelserna om patientjournalföring gälla all hälso- och sjukvård, dvs. både den allmänna och den enskilda hälso- och sjukvården.

Den nuvarande patientjournallagen är teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt. Visserligen skall vi enligt våra direktiv ha som utgångspunkt att all journalföring i framtiden i huvudsak skall vara elektronisk. Det kommer emellertid under överskådlig tid förekomma att journaler förs helt eller delvis på papper. Den nya regleringen beträffande patientjournalföring bör därför även fortsättningsvis vara teknikoberoende.

10.4.2. Patientjournalens syfte

Vår bedömning: Det behövs inte någon bestämmelse i patientdatalagen som preciserar patientjournalens syfte.

Patientjournallagen anger inte uttryckligen vilket eller vilka syften journalföringen har. Enligt lagens förarbeten är journalens grundläggande syfte att tillgodose patientens intresse av en god och säker vård. Journalen är därvid ett viktigt arbetsinstrument för hälso- och sjukvårdspersonalen för planering, genomförande och uppföljning av vården. Samtidigt skall journalen tillgodose kraven på rättssäkerhet och integritet. Även forskningens behov bör enligt förarbetena beaktas när så är möjligt (prop. 1984/85:189 s. 12 f.).

I Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen utvecklas patientjournalens ändamål. Bl.a. anges att kravet på dokumentation utgår från patientsäkerheten i dess vidaste bemärkelse, dvs. inte bara från terapeutisk synpunkt utan även från diagnostisk. Vidare anges att en patientjournal först och främst är

avsedd att vara stöd för den eller de personer som ansvarar för patientens vård. Den utgör arbetsverktyg eller underlag för bedömningen av de åtgärder som kan behöva vidtas av någon som inte tidigare har träffat patienten. Journalen är även en informationskälla för patienten om erhållen vård. Vidare utgör den ett viktigt instrument i kvalitets-, säkerhets-, uppföljnings- och utvärderingsarbetet inom vården samt ett underlagsmaterial vid tillsyn och kontroll av den vård som patienten erhållit. Patientjournalen har även stor betydelse som underlag i vissa legala sammanhang och för forskningen.

Socialstyrelsen föreslår i sin tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) att det i lagen införs en bestämmelse om patientjournalföringens syften. I första hand är syftet att bidra till en god och säker vård av patienten. Vidare föreslås att det anges att en patientjournal är viktig även som informationskälla för patienten, för uppföljning och utveckling av verksamheten, för tillsyn och andra rättsliga krav samt för forskningen. Enligt Socialstyrelsen är förslaget i princip en kodifiering av vad som i detta avseende anges i patientjournallagens förarbeten och i Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen. Förslaget motiverades med att utvecklingen under senare år medfört ett ökat fokus även på andra syften med journalföringen än en god och säker vård av patienten och att det är väsentligt att hälso- och sjukvårdspersonalen förstår och accepterar journalföringens flerfaldiga syften.

Vår bedömning

Vår uppfattning är att journalens grundläggande syfte alltjämt bör vara att tillgodose patientens intresse av en god och säker vård. Patientjournalen bör även fortsättningsvis i första hand vara ett arbetsinstrument för hälso- och sjukvårdspersonalen. Journalen kommer även fortsatt att ha betydelse inte bara för patienten själv utan även som t.ex. underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring.

Det är möjligt att det skulle finnas fördelar med att införa en bestämmelse om patientjournalföringens syften. Vissa av de remissinstanser som yttrade sig över Socialstyrelsens förslag om en sådan bestämmelse tillstyrkte också förslaget. Enligt vår uppfattning har det dock inte i förhållande till nuvarande reglering av patientjournal-

föringen framkommit något behov av att i lag precisera patientjournalens syfte. Vi föreslår därför inte någon sådan bestämmelse.

10.4.3. Skyldigheten att föra patientjournal och utfärda intyg

Vår bedömning: Patientjournallagens bestämmelser om kravet på journalföring, vem som är skyldig att föra patientjournal och skyldigheten att på begäran av patienten utfärda intyg om vården bör föras över oförändrade till patientdatalagen.

I 1 § patientjournallagen slås fast att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Kravet på journalföring gäller dock endast den individuellt inriktade verksamheten inom hälso- och sjukvården.

Patientjournallagen medger inga undantag från journalföringsplikten. Denna skyldighet gäller t.ex. alldeles oberoende av den enskildes inställning till dokumentationen. Samtycke till journalföringen krävs alltså inte och någon rätt till anonymitet i vården finns i princip inte.

TPF

1

FPT

Detta har motiverats med att patientsäkerheten kräver att

identiteten och andra för vården viktiga uppgifter dokumenteras i journalen. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som till varje pris motsätter sig journalföringen avstå från vården. En annan sak är förstås att patienten genom att välja ut vilka upplysningar han eller hon lämnar i samband med vården kan begränsa innehållet i sin journal.

Förs en patientjournal elektroniskt, ingår den i ett vårdregister och omfattas av bestämmelserna i vårdregisterlagen. Enligt den lagen får vårdregister föras oberoende av patientens inställning till personuppgiftsbehandlingen. Patientens samtycke till personuppgiftsbehandlingen eller registreringen krävs alltså inte. I lagens förarbeten anfördes bl.a. att en konsekvens av ett samtyckeskrav skulle vara att en vårdgivare som önskar använda IT för journalföring måste föra

TP

1

PT

Enda undantaget gäller om en patient begär att ett prov för infektion av HIV tas anonymt.

I ett sådant fall skall patientens identitet inte antecknas i journalen, se förordningen (1986:198) om provtagning för infektion av HIV. Om resultatet av provtagningen visar att patienten har antikroppar mot HIV, skall dock identitetsuppgifterna antecknas i journalen.

patientjournaler enligt två parallella system, ett manuellt för det fåtal patienter som inte accepterar automatiserad behandling och ett automatiserat för övriga patienter. Enligt regeringen skulle en sådan dubbelregistrering kunna få otillfredsställande återverkningar både på den arbetsmässiga och på den finansiella situationen för registerhållaren (prop. 1997/98:108 s. 83 f.).

Av 1 § patientjournallagen följer att en patientjournal är individuell och skall föras för varje enskild patient. Den får alltså inte vara gemensam för flera patienter. Däremot kan det finnas flera journaler för en och samma patient.

Föreskrifter om vem som är skyldig att föra patientjournal finns i 9 § patientjournallagen. Där anges att den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke har sådan skyldighet. Följande 21 yrkeskategorier är i dag legitimerade och följaktligen journalföringspliktiga. Apotekare, arbetsterapeut, audionom, barnmorska, biomedicinsk analytiker, dietist, kiropraktor, logoped, läkare, naprapat, optiker, ortopedingenjör, psykolog, psykoterapeut, receptarie, röntgensjuksköterska, sjukgymnast, sjukhusfysiker, sjuksköterska, tandhygienist samt tandläkare. Skyldig att föra patientjournal är vidare den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare. Slutligen är den som är verksam som kurator i den allmänna hälso- och sjukvården skyldig att föra patientjournal.

Genom den enhetliga regleringen av journalföringsskyldigheten i patientjournallagen har således journalföringen blivit en del av de berörda yrkesutövarnas medicinska yrkesansvar. Gemensamt för dem alla är att var och en svarar för sina uppgifter i journalen. Disciplinpåföljd kan åläggas den enskilde yrkesutövaren vid underlåten eller bristfällig journalföring. Även andra åtgärder kan vidtas. Prövning härav sker av Hälso- och sjukvårdens ansvarsnämnd enligt bestämmelser i 7 kap. lagen om yrkesverksamhet på hälso- och sjukvårdens område. Ärenden i nämnden kan initieras av Socialstyrelsen, patienten i fråga eller, om patienten inte själv kan anmäla saken, en närstående till patienten.

Arbetsuppgifter som t.ex. journalföring kan under vissa förutsättningar delegeras till personer som inte är skyldiga att föra journal, se 2 kap. 6 § lagen om yrkesverksamhet på hälso- och sjukvårdens

område. Den som delegerar en arbetsuppgift till någon annan är ansvarig för att den som tar emot uppgiften kan fullgöra den. Den som får uppgiften genom delegation är själv ansvarig för hur den fullgörs.

Med skyldigheten att föra journal följer enligt 10 § patientjournallagen en skyldighet att på begäran av patienten utfärda intyg om vården. Ett sådant intyg skall enligt förarbetena till lagen innehålla de uppgifter om undersökningen, vården och behandlingen som behövs för det av patienten begärda ändamålet (prop. 1984/85:189 s. 47). Det kan vara fråga om intyg till försäkringskassa, försäkringsbolag, domstol etc.

I Socialstyrelsens tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) föreslås att regeringen eller den myndighet regeringen bestämmer (Socialstyrelsen) skall kunna meddela undantag när det gäller de journalföringspliktiga yrkeskategorierna. Enligt förslaget kan det särskilt vara aktuellt med undantag för apotekare och receptarier i vars yrkesutövning det ofta ter sig överflödigt att föra patientjournal. Vidare föreslås att kuratorer inom allmän hälso- och sjukvård inte längre skall vara skyldiga att föra journal, i vart fall inte som huvudregel. Socialstyrelsen föreslår också att vikarier för alla legitimerade yrkeskategorier skall vara skyldiga att föra journal. Vidare skall en verksamhetschef eller motsvarande befattningshavare kunna bestämma vilken ytterligare personal som skall ha skyldighet att föra patientjournaler och att följa lagens bestämmelser. När det gäller vilken hälso- och sjukvårdspersonal m.fl. som skall vara skyldig enligt lag att föra patientjournal innebär Socialstyrelsens förslag således en inte obetydlig utvidgning. Dessutom föreslås att det i lagen uttryckligen skall anges att även den som utan skyldighet att göra det dokumenterar uppgifter i en patientjournal, skall vara skyldig att följa lagens bestämmelser.

I fråga om intyg om vården föreslår Socialstyrelsen ingen principiell ändring av skyldigheten att utfärda sådana, dock att det införs en bestämmelse om vad intyget måste innehålla, om patienten begär det.

Generaldirektören Karin Lindell har haft i uppdrag att biträda Justitiedepartementet med en analys rörande försäkringsbolags tillgång till patientjournaler. Uppdraget redovisades i maj 2005 i departementspromemorian Försäkringsbolags tillgång till patientjournaler (Ds 2005:13). Av den kartläggning som gjorts framgår att försäkringsbolag regelmässigt begär in fullmakt från en försäkringssökande (eller annan som skall försäkras) vid tecknande av en individuell person-

försäkring som skall hälsoprövas. Detta sker normalt i samband med att sökanden skriver under en hälsodeklaration. Motsvarande gäller vissa typer av gruppförsäkringar och kollektivavtalade försäkringar. En övervägande majoritet av försäkringsbolagen använder s.k. generella fullmakter. De är inte tidsbegränsande och innehåller inte några inskränkningar beträffande vilka sjukvårdsinrättningar eller försäkringsinrättningar bolagen har rätt att vända sig till. Fullmakterna täcker som regel även inhämtande av hälsoupplysningar vid framtida skadereglering.

I promemorian föreslås att försäkringsbolagens möjligheter att med stöd av fullmakt begära in kompletta patientjournaler direkt från hälso- och sjukvården skall begränsas genom en ny förordning om begränsat utnyttjande av fullmakter på försäkringsområdet.

Som skäl till förslaget anges bl.a. att försäkringsbolagen genom fullständiga patientjournaler får tillgång till information i betydligt större utsträckning än vad som rimligen kan vara motiverat för deras försäkringsmässiga bedömningar. Bolagens tillgång till sådan s.k. överskottsinformation innebär ett omotiverat intrång i den personliga integriteten. Vidare anges att informationsmängden dessutom kommer att öka i takt med att det sker en övergång till elektroniska journaler som ingår i journalsystem till vilka allt fler vårdinrättningar är anslutna (a.a. s. 11 f.).

Enligt förslaget skall försäkringsbolagens behov av information om den enskildes hälsa i stället tillgodoses genom preciserade frågor som läkare och andra behöriga uppgiftslämnare besvarar genom intyg eller bearbetade journalutdrag. Med ett bearbetat journalutdrag avses en sammanställning (utan ändringar eller tillägg) av relevanta journalanteckningar och annan relevant information som finns i en patientjournal. I promemorian föreslås att det i 10 § patientjournallagen görs ett särskilt tillägg angående skyldigheten för journalföringspliktiga att utfärda bearbetade journalutdrag.

Vår bedömning

Som framgått tidigare påverkas journalföringsplikten inte av att journalen förs elektroniskt. Socialstyrelsens förslag när det gäller vilken hälso- och sjukvårdspersonal m.fl. som skall vara skyldig enligt lag att föra patientjournal innebär, såsom tidigare sagts, en inte obetydlig utvidgning av gällande rätt. Journalföringsplikten ingår inte uttryckligen i de frågeställningar som vi enligt våra direktiv skall behandla.

Vi har inte heller haft möjlighet att närmare utreda denna fråga eller frågan om det bör finnas möjlighet att i vissa fall meddela undantag från skyldigheten att föra journal. Vi föreslår därför inga ändringar av patientjournallagens bestämmelser om kravet på journalföring, vem som är skyldig att föra patientjournal och skyldigheten att på begäran av patienten utfärda intyg om vården utan dessa bestämmelser bör föras över oförändrade till patientdatalagen.

10.4.4. Patientjournalens innehåll

Vår bedömning och våra förslag: I patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vårdregisterlagen om hur mycket information som en patientjournal får innehålla.

Patientjournallagens bestämmelse om att information och samtycke som har lämnats enligt biobankslagen skall dokumenteras i patientjournalen flyttas till biobankslagen. Patientjournallagens bestämmelser i övrigt om vilka uppgifter en patientjournal skall innehålla kan föras över oförändrade till patientdatalagen.

I patientdatalagen införs en bestämmelse om att i det fall patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall detta antecknas i journalen.

Patientjournallagens bestämmelse om signeringskravet förs över oförändrad till patientdatalagen. Det införs dock en bestämmelse som bemyndigar regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från signeringskravet.

Patientjournallagens bestämmelse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så, att patientens integritet respekteras utvidgas till att avse inte bara uppgifter i journalhandlingar utan all utformning och behandling av personuppgifter inom hälso- och sjukvården. Vidare skall inte bara patienters integritet respekteras utan även övriga registrerades integritet.

Journalen består, enligt 2 § patientjournallagen, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling. Lagen är, som

tidigare nämnts, teknikneutral. Journalhandlingar behöver således inte vara pappershandlingar utan kan bestå av elektroniska upptagningar, video- eller diktafonupptagningar, fotografier m.m. I 2 § anges att som journalhandling avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Ordalydelsen överensstämmer med definitionen av begreppet handling i 2 kap. 3 § första stycket tryckfrihetsförordningen.

Av patientjournallagens förarbeten framgår att det grundläggande syftet med patientjournalen är en god och säker vård av patienten. Journalen skall i första hand kunna användas av hälso- och sjukvårdspersonalen som ett arbetsinstrument för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjlighet att utöva tillsyn över hälso- och sjukvården. Journaluppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga sammanhang, t.ex. i klinisk och epidemiologisk forskning (prop. 1984/85:189 s. 12 f.).

Grundläggande bestämmelser om vad en patientjournal skall innehålla infördes i huvudsak genom patientjournallagen. Enligt lagens förarbeten var utgångspunkten för förslagen att det som antecknas i journalen skall kunna tjäna patientens intresse av en god och säker vård samtidigt som rättssäkerhets- och integritetsintressena tas tillvara (a. prop. s. 14).

Patientjournallagen preciserar inte, med några undantag, i detalj vad som skall journalföras utan föreskriver att en patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten, se 3 § patientjournallagen. Uppgifterna skall föras in i journalen så snart det kan ske.

Om uppgifterna föreligger, skall en patientjournal alltid innehålla

1. uppgift om patientens identitet

TPF

2

FPT

,

2. väsentliga uppgifter om bakgrunden till vården,

3. uppgift om ställd diagnos och anledning till mera betydande åt-

gärder,

4. väsentliga uppgifter om vidtagna och planerade åtgärder,

5. uppgift om den information som lämnats till patienten och om

de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning samt

TP

2

PT

Detta gäller inte i samband med provtagning för infektion av HIV, om patienten begär att

ett sådant prov tas anonymt, se förordningen om provtagning för infektion av HIV. Uppgift om patientens identitet skall dock antecknas om resultatet av provtagningen visar att patienten har antikroppar mot HIV.

6. uppgift om information och samtycke som lämnats enligt lagen

(2002:297) om biobanker i hälso- och sjukvården m.m.

Denna uppräkning är inte uttömmande. Kravet på en god och säker vård av patienten kan innebära att ytterligare uppgifter måste dokumenteras. Vad detta konkret innebär kan variera mellan olika yrkesutövare och olika verksamheter (a. prop. s. 39).

Enligt nyss nämnda paragraf skall patientjournalen vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

Patientjournallagens bestämmelser utgör minimiregler och anger alltså vad som minst måste dokumenteras i en patientjournal. Därutöver finns bestämmelser i andra författningar om vad journalen skall innehålla, se t.ex. 4 kap. 2 § smittskyddslagen och 2 § förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård. Vidare behandlar Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen bl.a. innehållet i patientjournalen. Exempelvis anges att allvarligare överkänslighet skall antecknas på särskilt sätt i journalen i enlighet med en tidigare meddelad föreskrift i ämnet och att det skall finnas betryggande rutiner för dokumentation av all läkemedelshantering. Därutöver föreskrivs att journalen skall innehålla en tydlig omvårdnadsdokumentation av visst innehåll som preciseras i ett antal föreskrifter.

Patientjournallagen innehåller inga bestämmelser som anger hur mycket information som en patientjournal får innehålla. Av 5 § vårdregisterlagen följer dock att en elektroniskt förd patientjournal endast får innehålla de uppgifter som enligt lag eller annan författning skall antecknas i en patientjournal. Den får även innehålla andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall.

Enligt sista stycket i 3 § patientjournallagen skall en journalanteckning om inte synnerligt hinder möter signeras av den som svarar för uppgiften.

Signeringskravet fanns inte med i lagförslaget i propositionen om patientjournallag m.m. (prop. 1984/85:189). Föredragande statsrådet ansåg att kontrolläsning var motiverad av säkerhetsskäl och att det således vore önskvärt att ställa upp ett krav på genomläsning och signering av varje journalanteckning. Statsrådet ansåg det dock av bl.a. praktiska och ekonomiska skäl inte vara möjligt att föreskriva en obligatorisk skyldighet för den som svarar för journalanteck-

ningen att också signera denna (a.a. s. 19 f.). I Socialutskottets betänkande SoU 1984/85:33 behandlades ett antal motioner om signeringskrav. Utskottet ansåg att sådana regler som är av särskilt stor betydelse för patientens trygghet bör tas in i själva patientjournallagen. Till dessa viktiga regler måste enligt utskottets mening räknas ett krav på genomläsning av anteckningar som läggs till grund för behandlingsåtgärder och medicinering. Missförstånd och felskrivningar kan här bli ödesdigra. Utskottet hade förståelse för att ett sådant krav i vissa lägen kan ge upphov till praktiska problem. Detta fick dock inte hindra en regel som är så starkt motiverad av hänsyn till patientens säkerhet (a.a. s. 9).

Varje uppgift i en journalhandling som upprättas inom hälso- och sjukvården skall enligt 4 § patientjournallagen utformas så, att patientens integritet respekteras. Enligt förarbetena skall uppgifterna vila på ett korrekt underlag och inte vara av nedsättande eller kränkande karaktär. Hänsynen till patienten förutsätter därvid en betydande återhållsamhet när det gäller uppgifter om patientens privatliv. Detsamma gäller subjektiva värderingar som bara bör få förekomma om de grundas på korrekt underlag och är av verklig betydelse för medicinska ställningstaganden. Respekten för patientens integritet medför även andra begränsningar, t.ex. när det gäller användningen av videoteknik i den psykiatriska vården. Uppgifter om tredje person bör så långt möjligt undvikas (prop. 1984/85:189 s. 14 f. och 20 f.).

I Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen anges att känsliga uppgifter som patienten meddelat i förtroende inte ogenomtänkt skall föras in i journalen. I den mån uppgifterna är relevanta för tolkning av sjukdomsbilden skall de givetvis skrivas in, vilket ställer särskilda krav på utformningen. Socialstyrelsen tillägger att journalen dock mera sällan behöver innehålla detaljerade återgivanden.

I den tidigare nämnda skrivelsen om patientjournallagen (se avsnitt 10.2.1) föreslår Socialstyrelsen – mot bakgrund av den tidigare utredningen och rapporten Omfattningen av administration i vården – en ändring av patientjournallagens signeringskrav till att som minimikrav bara omfatta uppgifter om anamnes, diagnos, läkemedelsförskrivningar, beslut om vårdåtgärder och epikris. Därutöver föreslås verksamhetschefen utifrån främst patientsäkerhetsskäl bestämma i vad mån signering skall ske. Skälet till förslaget är att signeringskravet inte minst i fråga om pappersjournaler och vid diktering visat sig vålla merarbete och andra problem i arbetet. Vidare påtalar Socialstyrelsen att det finns skäl att i lagen förtydliga hur omfattande

dokumentationen måste vara i fråga om vilken information som lämnats till patienten. Socialstyrelsen fann det dock inte möjligt att göra det inom ramen för dess arbete, utan föreslog att frågan skulle bli föremål för ytterligare överväganden.

Våra överväganden i fråga om vilka uppgifter en patientjournal får innehålla

Som framgått tidigare innehåller den nuvarande regleringen i vårdregisterlagen en begränsning av hur mycket information som får finnas i en elektroniskt förd patientjournal. Vi har ställt oss frågan om det finns skäl att tillåta att patientjournaler framöver innehåller mer information än vad som får ske i dag.

Med tanke på att de primära ändamålen för vilka personuppgifter föreslås få behandlas inom hälso- och sjukvården enligt patientdatalagen (se avsnitt 8.2.3) är fler än de som anges i vårdregisterlagen menar vi att det finns fog för en bestämmelse motsvarande vårdregisterlagens begränsning. Det är från integritetssynpunkt väsentligt att patientjournaler inte innehåller mer information än som behövs i det individinriktade arbetet.

Mot bakgrund av det sagda föreslår vi att det i patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vårdregisterlagen om hur mycket information som en patientjournal får innehålla. Bestämmelsen innebär att en journal, liksom i dag, får innehålla de uppgifter som enligt lag eller annan författning skall antecknas i en patientjournal. Därmed avses även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Vidare får journalen innehålla andra uppgifter som behövs i och för vården av patienter eller som behövs för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Bestämmelsen kommer således att avse uppgifter som omfattas av vårt förslag om personuppgiftsbehandling för ändamålet vårddokumentation (se avsnitt 8.2.3). För tydlighetens skull bör här nämnas att uppgift om att det finns spärrade patientuppgifter (se avsnitt 11.3.3 och 12.4) utgör vårddokumentation och således får finnas i en patientjournal.

Våra överväganden i fråga om vilka uppgifter en journal skall innehålla

Som framgått tidigare innehåller patientjournallagen de grundläggande bestämmelserna om all patientjournalföring. Särskilda bestämmelser om vad en patientjournal i vissa fall skall innehålla återfinns – med ett undantag – i annan författning. Undantaget utgörs av punkten 6 i uppräkningen i 3 § andra stycket patientjournallagen om vilka uppgifter som, om de föreligger, skall finnas i en patientjournal. Denna punkt avser uppgift om information och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen).

I 3 kap. 7 § biobankslagen föreskrivs att uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt. Vidare anges att särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen. I förarbetena anges att patientens samtycke bör dokumenteras både i patientjournalen och i de personuppgifter som förvaras i anslutning till banken (prop. 2001/02:44 s. 38). Något skäl till varför kravet på dokumentation i patientjournalen tagits in i patientjournallagen i stället för att regleras i särlagstiftningen (i det här fallet biobankslagen) såsom annars är fallet framgår däremot inte av förarbetena.

Bestämmelserna i patientdatalagen om vad en patientjournal skall innehålla bör enligt vår uppfattning endast ange de grundläggande kraven på dokumentation. Särregler om journalers innehåll bör liksom i dag finnas i andra författningar. Vi föreslår därför att patientjournallagens bestämmelse om att information och samtycke som har lämnats enligt biobankslagen skall dokumenteras i patientjournalen flyttas till biobankslagen.

När det gäller patientjournallagens bestämmelser i övrigt om vilka uppgifter en patientjournal skall innehålla anser vi att dessa kan föras över oförändrade till patientdatalagen.

En annan fråga som inte tidigare tagits upp men som vi anser är av betydelse från integritetssynpunkt, är patientens möjligheter att invända mot journaluppgifter som han eller hon anser är oriktiga eller missvisande. I avsnitt 10.4.6 och 10.4.8 redogör vi för vad som gäller i fråga om rättelse av journaluppgifter och förstörande av journal. För att rättelse av en journaluppgift skall ske på patientens begäran krävs att patienten och den som ansvarar för uppgiften är ense om felaktigheten. Patientens möjligheter att få journaluppgifter utplånade är i realiteten små eller i vart fall omständliga. Vi menar att det

behövs ett komplement till bestämmelserna om rättelse och journalförstöring. I takt med att stora eller kompatibla journalsystem införs som följer patienten genom vårdapparaten kan det enligt vår uppfattning bli av betydelse för enskilda patienter att kunna markera missnöje med journaluppgifter som man av någon anledning anser är felaktiga.

Vi föreslår därför en ny bestämmelse om att det i journalen skall antecknas om en patient anser att en uppgift är oriktig eller missvisande. Det kan nämnas att en motsvarande bestämmelse finns i 11 kap. 6 § socialtjänstlagen (2001:453) när det gäller dokumentation inom socialtjänstens verksamhet avseende genomförande av beslut om stödinsatser, vård och behandling samt handläggning av ärenden rörande enskilda. Vi menar att en sådan bestämmelse bör ingå bland de grundläggande reglerna om patientjournalföring som gäller både för manuellt och elektroniskt förda patientjournaler.

Det har i utredningen framförts vissa farhågor om att bestämmelsen kan komma att leda till merarbete för journalföraren samt även risk för att journalföraren, med tanke härpå, avstår från att journalföra viss information som man anar att patienten kan ha invändningar emot. Vi tror emellertid att bestämmelsen i sig inte kommer att leda till något nämnvärt merarbete för journalförarna. I vilken omfattning patienter kommer att vilja anmärka på journalanteckningar sammanhänger inte minst med i vilken mån patienter faktiskt utnyttjar sin rätt att få läsa sin journal. Bestämmelsen om att patientens anmärkningar skall antecknas kan därvid lika gärna innebära en lättnad för journalföraren såsom ett sätt att lösa en meningsskiljaktighet med patienten om innehållet i journalen. Inte heller tror vi att bestämmelsen som sådan kommer att leda till att journalförare avstår från att journalföra viss information som rätteligen skall antecknas i journalen.

Det kan poängteras att förslaget inte innebär någon rätt för patienten att själv skriva i journalen. De grundläggande bestämmelserna om patientjournalföring är en reglering av vad som måste göras i fråga om journalföring. Enligt vår uppfattning finns därutöver inget förbud mot att patienter tillåts att mera direkt bidra till innehållet i journalen genom att t.ex. registrera uppgifter från egenvård såsom mätvärden eller liknande

TPF

3

FPT

.

TP

3

PT

Vare sig patienten själv kan elektroniskt föra in uppgifter i journalen eller inte, anser vi att

uppgifterna får ses som sådana inkomna handlingar som avses i nuvarande 2 § patientjournallagen och – i förekommande fall - även enligt 2 kap. tryckfrihetsförordningen.

Våra överväganden i fråga om signeringskravet

De patientsäkerhetsskäl som anfördes vid införandet av signeringskravet gäller fortfarande. Dessa skäl gäller än mer vid anteckningar i stora eller kompatibla journalsystem där anteckningarna kan komma att läggas till grund för behandlingsåtgärder och medicinering av andra vårdenheter än den där anteckningarna gjorts. I sådana fall är det av särskild vikt att uppgifterna dessförinnan har kontrollästs så att risken för missförstånd och felskrivningar kan minimeras. Det lagstadgade kravet på att journalanteckningar, om inte synnerligt hinder möter, skall signeras av den som svarar för uppgiften bör därför finnas kvar.

Det går dock inte att bortse från de praktiska olägenheter som signeringskravet medför i form av merarbete och andra problem i arbetet. Socialstyrelsen har upplyst att många journalanteckningar i dag förblir osignerade. Hälso- och sjukvårdens hantering av signeringskravet är inte heller enhetlig utan påverkas enligt Socialstyrelsen sannolikt av synen på nödvändigheten att signera och de resurser som läggs ned på att få vissa anteckningar signerade.

Vi har förståelse för att det kan finnas skäl att göra undantag från signeringskravet när man väger nyttan av signeringen mot det merarbete som signeringskravet innebär. Bedömningen av när signering kan underlåtas bör överlåtas till den myndighet som utifrån patientsäkerhetssynpunkter m.m. kan göra en bedömning av när undantag kan föreskrivas utan risker för patientsäkerheten eller andra viktiga faktorer som talar för signering. Vi föreslår därför att regeringen eller den myndighet som regeringen bestämmer, förslagsvis Socialstyrelsen, bemyndigas att meddela föreskrifter om undantag från signeringskravet.

Genom att bemyndiga t.ex. Socialstyrelsen att meddela undantag i stället för att låta verksamhetschefen avgöra när signering kan underlåtas uppnås enhetlighet i fråga om signeringskravet, vilket är nog så viktigt i en hälso- och sjukvård där det blir alltmer vanligt att dokumentation i journaler blir läst och får betydelse hos andra vårdenheter.

Våra överväganden i fråga om utformning av uppgifter

Som framgått innehåller patientjournallagen bestämmelser om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så, att patientens integritet respekteras. Detta krav bör fortfarande gälla, men vi anser att det bör utvidgas till att avse all utformning och behandling av personuppgifter inom hälso- och sjukvården. Kravet bör vidare utvidgas till att gälla även övriga registrerades integritet.

10.4.5. Språket i journalen

Vår bedömning: De journalhandlingar som upprättas inom hälso- och sjukvården bör även fortsättningsvis som huvudregel vara skrivna på svenska språket. Patientjournallagens bestämmelse om språk vid journalföring behöver alltså inte ändras.

I vårt uppdrag ingår uttryckligen att utreda om bestämmelserna om språk vid journalföring tillgodoser patienternas rätt att ta del av sin journal.

Enligt 5 § patientjournallagen skall de journalhandlingar som upprättas inom hälso- och sjukvården vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten. Ett av skälen till att bestämmelsen infördes var att patienten själv skall kunna ta del av sin journal.

Regeringen eller den myndighet regeringen bestämmer (Socialstyrelsen) har bemyndigats att meddela föreskrifter om undantag från kravet på att journalspråket skall vara svenska. Sådana föreskrifter har meddelats i Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen

Bakgrunden till bemyndigandet anges i förarbetena till patientjournallagen vara att ett absolut upprätthållande av kravet på att journalspråket skall vara svenska inte är möjligt bl.a. av det skälet, att Sverige har internationella åtaganden att beakta som berör denna fråga. I propositionen anges vidare (prop. 1984/85:189 s. 51):

Den 25 augusti 1981 ingick Sverige, Danmark, Finland och Norge en överenskommelse om godkännande av vissa yrkesgrupper för verksamhet inom hälso- och sjukvården och veterinärväsendet. Genom överenskommelsen regleras villkoren för en fri nordisk arbetsmarknad för 17 yrkesgrupper tillhörande hälso- och sjukvårdspersonalen samt för veterinärer. Överenskommelsen har godkänts av riksdagen. Den innebär

bl.a. att läkare, tandläkare, sjuksköterskor m.fl. som är behöriga att utöva sitt yrke i de övriga fördragsslutande staterna också är behöriga att utöva sitt yrke här i landet om de uppfyller vissa krav. Som ett av dessa krav gäller att de besitter för yrket behövliga kunskaper i svenska, danska eller norska språket. Också för andra som fått sin utbildning utomlands krävs endast att de behärskar ett av de nämnda språken. För dem som är behöriga att utöva yrke inom hälso- och sjukvården utan att behärska svenska språket är det följaktligen inte möjligt att kräva journalföring på svenska. I dessa fall måste godtas att patientjournalen förs på danska eller norska språket.

Överenskommelsen från år 1981 har justerats och harmoniserats med EES-avtalet genom en ny överenskommelse som träffades år 1993.

TPF

4

FPT

Överenskommelsen har införlivats i svensk lagstiftning, se t.ex. 8 kap. 1 § förordningen (1998:1513) om yrkesverksamhet på hälso- och sjukvårdens område vari föreskrivs som villkor för att erhålla kompetensbevis att sökanden har för yrket nödvändiga kunskaper i svenska, danska eller norska språket.

Socialstyrelsen har också i avsnitt 10 punkt 1 i dess föreskrifter och allmänna råd om patientjournalen föreskrivit att den som efter utbildning utomlands erhållit kompetensbevis eller särskilt förordnande att utöva visst yrke får föra journal på danska eller norska. Eftersom det inte krävs något särskilt beslut av Socialstyrelsen för att någon skall få föra journal på danska eller norska, saknar Socialstyrelsen kunskap om i vilken utsträckning sådan journalföring sker.

Enligt punkt 2 i samma avsnitt i föreskrifterna får den som efter utomnordisk utbildning utövar ett yrke inom hälso- och sjukvården på grund av ett förordnande från Socialstyrelsen föra journal på engelska. Denna föreskrift infördes med anledning av att ett stort antal läkare (främst narkosläkare, radiologer och laboratorieläkare) från utlandet under 1990-talet förordnades som vikarier inom hälso- och sjukvården under somrarna. Eftersom dessa hade begränsad patientkontakt, ansågs det inte behövligt att ställa krav på att de hade kunskaper i svenska. Antalet sådana förordnanden har sjunkit kraftigt. Att någon får ett vikariatsförordnande innebär inte nödvändigtvis att denne för journal på engelska, utan han eller hon kan likaväl föra journal på svenska. Socialstyrelsen har därför ingen uppfattning om i vilken utsträckning patientjournaler förs på engelska.

TP

4

PT

Överenskommelse om gemensam nordisk arbetsmarknad för viss hälso- och sjukvårds-

personal och veterinärer (SÖ 1994:2).

Enligt samma punkt i föreskrifterna (punkt 2) kan Socialstyrelsen i samband med att styrelsen förordnar någon med utomnordisk utbildning att utöva yrke som barnmorska, läkare eller tandläkare medge att denne får föra patientjournal på ett annat språk än svenska i den utsträckning och på det språk som anges i förordnandet. Socialstyrelsen har upplyst att denna möjlighet aldrig har använts.

Enligt föreskrifterna får medicinska fackuttryck på främmande språk användas i stället för svenska uttryck i den mån det gagnar patientsäkerheten och kravet på noggrannhet i journalföringen.

I Socialstyrelsens föreskrifter och allmänna råd anges vidare att, om det med hänsyn till EES-avtalet blir nödvändigt att tillåta att journal förs även på annat språk än de nämnda, kommer Socialstyrelsen att från fall till fall meddela särskild dispens. Någon sådan dispens har aldrig meddelats enligt uppgift från Socialstyrelsen.

Socialstyrelsen har vidare föreskrivit (punkt 6) att om en patient inte behärskar svenska får i en patientjournal, om så behövs för att patienten skall kunna förstå en journalhandling, utöver uppgifter på svenska intas motsvarande uppgifter på annat lämpligt språk. I punkt 8 föreskrivs vidare att en journal som förs på annat språk än svenska skall om möjligt innehålla en översättning till svenska av anamnes och epikris.

I Socialstyrelsens tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) föreslås ingen ändring beträffande språket i journalen. Socialstyrelsen anför i denna del att det under utredningen inte framkommit något skäl att ändra den nuvarande bestämmelsen. I den mån EU-medlemskapet eller andra orsaker föranleder skäl att tillåta annat språk än svenska utöver vad som redan nu gäller, anser Socialstyrelsen sig ha möjligheter att ändra sina egna föreskrifter genom lämpliga tillägg.

Vi har vid kontakt med Socialstyrelsen fått upplysningen att det varken från hälso- och sjukvårdspersonal eller från patienter framförts kritik mot att journaler förts på annat språk än svenska eller anförts att det skulle ha inneburit några problem. Det har inte heller förekommit kritik mot eller problem med kravet på svenska som journalspråk. Vi har inte heller fått indikationer från andra aktörer inom hälso- och sjukvården, t.ex. vid kontakter med företrädare för patient- och anhörigorganisationer eller yrkesförbund, på att det skulle finnas kritik mot eller problem med nuvarande ordning.

I våra direktiv anges att den fria rörligheten för personer inom EU öppnar för möjligheter till gränsöverskridande vård och att det mot bakgrund härav finns behov av att utreda om bestämmelserna

om språk vid journalföring tillgodoser patienternas rätt att kunna ta del av sin journal.

Det finns ingen exakt definition av begreppet gränsöverskridande vård. Inom Socialdepartementet tillsattes i september 2002 en projektgrupp med uppgift att analysera innebörden och effekterna av gränsöverskridande vård inom EU. Rapporten Gränsöverskridande vård inom EU – Kartläggning och förslag till handlingslinjer överlämnades i december 2003. Enligt denna rapport är den gränsöverskridande vården till viss del en konsekvens av den ökade faktiska rörligheten av personer, ökat resande, förbättrade kommunikationer och ökad gränspendling, men även en effekt av de förmåner som följer av EG:s regler för samordning av systemen för social trygghet. För den enskilde kan det handla om att söka akutvård i samband med tillfällig vistelse utomlands eller om s.k. planerad vård, dvs. vård som inte är akut. För vårdgivaren kan den gränsöverskridande vården handla om att samarbeta gränsöverskridande och fördela specialistkompetens. Att hälso- och sjukvårdspersonal flyttar mellan länderna är ytterligare en dimension av den gränsöverskridande vården.

I rapporten konstaterades att den gränsöverskridande vården vid tiden för gruppens arbete var liten, men att exakt kunskap om patientströmmarna inte fanns eftersom det saknades statistiskt underlag.

För att underlätta den fria rörligheten för bl.a. hälso- och sjukvårdspersonal inom EU har utfärdats olika direktiv om ömsesidigt erkännande av examens-, utbildnings- och andra behörighetsbevis.

TPF

5

FPT

Dessa s.k. sektorsdirektiv avser läkare, tandläkare, sjuksköterskor inom allmän hälso- och sjukvård, farmaceuter och barnmorskor. Enligt direktiven skall ett medlemsland erkänna de övriga ländernas kompetensbevis genom att ge dem samma ställning inom sitt territorium vad gäller rätten att utöva yrkesverksamhet. Direktiven anger minimikrav som skall ställas på utbildningen för de yrken som avses och innehåller en lista över de examensbevis som motsvarar dessa minimikrav för varje medlemsland. Direktiven innebär att t.ex. en läkare eller sjuksköterska har rätt att få sin respektive examen godkänd i ett annat EU-land. De yrkesgrupper som berörs av direktiven får direkt tillträde till hela den gemensamma arbetsmarknaden och kan söka arbete varhelst de vill inom EU.

Den 7 september 2005 antog Europaparlamentet och Europeiska unionens råd direktiv 2005/36/EG om erkännande av yrkeskvalifikationer. Syftet med direktivet är bl.a. att konsolidera flera direktiv

TP

5

PT

Se t.ex. direktiv 93/16/EEG om underlättande av läkares fria rörlighet och ömsesidigt er-

kännande av deras utbildnings-, examens- och andra behörighetsbevis.

om erkännande av yrkeskvalifikationer, däribland de tidigare nämnda sektorsdirektiven, och skapa en mer enhetlig ordning för erkännande av kvalifikationer. Direktivet ersätter alltså sektorsdirektiven och skall vara införlivat i nationell rätt senast den 20 oktober 2007. I artikel 53 anges att personer som får sina yrkeskvalifikationer erkända skall ha nödvändiga språkkunskaper för att utöva yrkesverksamheten i den mottagande medlemsstaten.

Vår bedömning

Patientjournallagens bestämmelse om språket vid journalföring utgör en av flera bestämmelser som anger vilka krav som lagen uppställer när det gäller patientjournalens innehåll, utformning och hantering. En bestämmelse om på vilket språk en journal som huvudregel bör föras är viktig dels från patientsäkerhetssynpunkt, dels med hänsyn till strävan efter enhetlighet i journalföringen. Vi anser därför att det även framöver behövs en bestämmelse om på vilket språk patientjournaler som huvudregel bör föras

En patientjournal utgör i första hand ett arbetsverktyg för hälso- och sjukvårdspersonalen. Den skall vara ett stöd för den eller de personer som ansvarar för patientens vård och utgöra ett underlag för bedömningen av åtgärder som kan behöva vidtas av någon som inte tidigare har träffat patienten. Från patientsäkerhetssynpunkt är det därför av vikt att journalspråket som huvudregel är svenska, eftersom svenska är arbetsspråket inom hälso- och sjukvården. Enligt vår uppfattning blir detta än viktigare om man skapar omfattande journalsystem hos en och samma vårdgivare eller om vårdgivare ges tillgång till varandras journaluppgifter, eftersom journalanteckningarna då kan komma att behöva läsas och förstås av fler personer inom hälso- och sjukvården än i dag. Risken för att tidigare journalanteckningar missförstås vid en senare vårdkontakt kan ju komma att öka om dessa anteckningar förts på andra språk än svenska. Enligt vår bedömning skulle det alltså inte gagna patientsäkerheten att ändra bestämmelsen om att journalspråket som huvudregel skall vara svenska.

Patientjournalen är också en viktig informationskälla för patienten om erhållen vård. Patienter blir alltmer delaktiga i sin vård och deras intresse av att ta del av sina patientjournaler ökar. Det är därför av stor vikt att de så långt möjligt kan förstå vad som finns antecknat i journalerna. Patienternas möjlighet att ta del av sina journaler var

också, såsom tidigare nämnts, ett av skälen till att bestämmelsen om språk vid journalföring infördes i patientjournallagen. Patienternas ökade delaktighet och intresse snarare understryker att journalspråket även fortsättningsvis som huvudregel bör vara svenska.

Såvitt framkommit finns det inget behov av att utvidga möjligheterna att föra journal på andra språk än svenska med anledning av att utländsk hälso- och sjukvårdspersonal tar anställning i Sverige. När det gäller hälso- och sjukvårdspersonal med yrkeskvalifikationer från andra EU-länder uppställer dessutom det tidigare nämnda EGdirektivet om erkännande av yrkeskvalifikationer (vilket skall vara införlivat i nationell rätt senast den 20 oktober 2007) som villkor för utövande av yrket att personer som får sina yrkeskvalifikationer erkända här har nödvändiga språkkunskaper för att utöva sin yrkesverksamhet. Detta måste enligt vår uppfattning innebära att de skall kunna föra journaler på svenska.

Vi kan inte heller se att det med anledning av att t.ex. EU-medborgare söker vård i Sverige finns behov av att utvidga möjligheterna att föra journal på andra språk än svenska. Patienter som inte behärskar svenska språket och som vill ta del av sina journaler får redan i dag journaluppgifterna översatta. Dessutom kan ju vårdpersonal som är verksam här i Sverige knappast förväntas föra journal på annat språk än svenska enbart av den anledningen att patienten inte behärskar svenska språket. De tidigare nämnda patientsäkerhetsskälen talar också emot detta.

Vi har i tidigare avsnitt framhållit att journalföringen framöver bör bli mer enhetlig. Detta skulle motverkas om det blir möjligt att i större utsträckning än i dag föra journal på andra språk än svenska. Dessutom kan antas att möjligheterna till uppföljning skulle försämras.

Det har, såvitt framkommit, inte förekommit några problem för hälso- och sjukvårdspersonalen att journaler i undantagsfall förs på danska, norska eller engelska. Vi ser därför inte någon anledning att inskränka Socialstyrelsens möjligheter att meddela föreskrifter om undantag från kravet på att journalspråket skall vara svenska. I fråga om danska och norska synes detta inte heller vara möjligt med tanke på den tidigare nämnda nordiska överenskommelsen.

Sammanfattningsvis gör vi bedömningen att de journalhandlingar som upprättas inom hälso- och sjukvården även fortsättningsvis som huvudregel bör vara skrivna på svenska språket. Patientjournallagens bestämmelse om språk vid journalföring kan alltså föras över oförändrad till patientdatalagen. Utvecklingen av den gränsöverskridande

vården bör dock följas. Om det visar sig att problem uppstår på grund av kravet på att journalhandlingar som huvudregel skall vara skrivna på svenska språket, får frågan på nytt övervägas.

10.4.6. Rättelse av journaluppgifter

Vår bedömning: Patientjournallagens bestämmelse om rättelse av journaluppgifter behöver inte ändras.

Av 6 § patientjournallagen följer att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än efter särskilt förordnande av Socialstyrelsen enligt 17 § patientjournallagen, se nedan. Av samma bestämmelse följer att det vid rättelse av en felaktighet skall anges när rättelsen har skett och vem som har gjort den.

Föreskriften innebär att samma krav på hur rättelser skall utföras gäller för både den enskilda och den allmänna hälso- och sjukvården. Kravet innebär bl.a. att en rättelse i en journalhandling alltid måste göras så, att den ursprungliga texten klart framgår också efter rättelsen. Det är således inte tillåtet att utplåna den ursprungliga texten. Kravet på särskild anteckning inträder först när uppgiften har fått status av allmän handling (prop. 1984/85:189 s. 24).

I förarbetena anges att bestämmelsen skall tolkas mot bakgrund av tryckfrihetsförordningen och den rättspraxis som utvecklats i anslutning till denna. Frågan när en handling skall anses upprättad aktualiseras således även i den privata hälso- och sjukvården. För de vanliga korrigeringarna av skrivfel, som upptäcks vid genomläsning av texten, anses därvid gälla att sådana rättelser kan utföras fritt under förutsättning att rättelsen har ett faktiskt och tidsmässigt samband med själva utskriften (a. prop. s. 44).

Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen gäller också vid rättelse av uppgifter i ett vårdregister som grundar sig på dokumentationsskyldighet enligt patientjournallagen.

De nämnda bestämmelserna anger hur rättelser skall utföras. I fråga om när rättelser måste göras finns inga särskilda föreskrifter beträffande manuellt förda patientjournaler. Felaktigheter i journalhandlingar måste dock givetvis rättas när de upptäcks. Från patientsäkerhetssynpunkt är det ju av vikt att uppgifter i journalhandlingar är riktiga. När det gäller patientjournaler som omfattas av personuppgiftslagen anges i 28 § nämnda lag att den personuppgiftsansvarige

är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. För elektroniskt förda journaler följer av 13 § vårdregisterlagen att denna skyldighet även gäller beträffande personuppgifter som behandlats i strid med nämnda lag. Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i patientjournallagen. Utöver skyldigheten att vidta rättelse på den registrerades begäran måste den personuppgiftsansvarige enligt bestämmelserna i 9 § första stycket personuppgiftslagen självmant vara aktiv för att se till att behandlade uppgifter är korrekta samt att felaktigheter rättas. (Se vidare avsnitt 18.2.1.)

Socialstyrelsen gör i sin skrivelse Patientjournallagen – En översyn med förslag till författningsändringar (se avsnitt 10.2.1) bedömningen att det inte finns någon anledning att göra några ändringar i bestämmelsen om rättelse av journaluppgifter. I skrivelsen framhålls dock att det bör klarläggas dels i vilka fall skrivfel kan rättas utan att uppgiften i journalen skall anses upprättad samt hur det kan ske, dels när låsning av uppgifter i datorjournaler senast bör ske. Socialstyrelsen anser sig ha möjligheter att ta fram föreskrifter och allmänna råd i dessa frågor.

Vår bedömning

Det ingår inte uttryckligen i vårt utredningsuppdrag att se över ifrågavarande bestämmelser i patientjournallagen och det har inte heller framkommit något behov av att göra några ändringar av dessa. Vår uppfattning är således att patientjournallagens bestämmelser om rättelse av journaluppgifter kan föras över oförändrade till patientdatalagen.

10.4.7. Bevarande av journalhandling

Vår bedömning: Patientjournallagens bestämmelser om bevarande av journalhandling bör inte ändras.

I 8 § första stycket patientjournallagen föreskrivs att en journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Bestämmelsen gäller såväl allmän som enskild hälso- och sjukvård.

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Så har också skett i förordningen (1986:203) om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjukvården. Den förlängda tiden gäller journalhandlingar rörande patient vars sak prövas eller har prövats enligt vissa rättsliga förfaranden (t.ex. enligt patientskadelagen [1996:799] eller läkemedelsförsäkringen), journalhandlingar inom tandvården som kan ha betydelse för rättsodontologisk identifiering samt journalhandlingar rörande patienter födda vissa datum varje månad och som inte kan uteslutas ha betydelse för forskningsändamål.

Längre bevarandetider kan också vara föreskrivna i andra lagar. I t.ex. 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m. föreskrivs att uppgifter om spermagivare vid insemination och givare av ägg eller spermier vid befruktning utanför kroppen skall antecknas i en särskild journal, som skall bevaras i minst 70 år.

Som framgår av avsnitt 10.4.9 kan Socialstyrelsen besluta att patientjournaler inom enskild hälso- och sjukvård skall tas om hand. I fråga om bevarande av sådana journalhandlingar finns det särskilda föreskrifter i 12 § andra stycket patientjournallagen. Där föreskrivs att omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.

I 8 § andra stycket patientjournallagen anges att för journalhandlingar som utgör allmän handling gäller, med de undantag som följer av första stycket, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.

I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål.

När det gäller patientjournaler har Riksarkivet utfärdat allmänna råd om bevarande och gallring av patientjournaler hos landsting och kommuner (RA-FS 2003:4). I dessa rekommenderas landsting och kommuner att tills vidare i avvaktan på en ny patientjournallag inte gallra patientjournaler.

Av bl.a. Socialstyrelsens skrivelse om patientjournallagen (se avsnitt 10.2.1) har framkommit att det även före Riksarkivets allmänna råd från år 2003 endast förekom en relativt begränsad gallring ur patientjournaler hos landsting och kommuner (s. 46). Vi har inte gjort någon egen kartläggning av huruvida gallring har skett i elektroniska patientjournaler inom den allmänna hälso- och sjukvården. I samband med studiebesök vid vårdinrättningar har det emellertid vid några tillfällen upplysts att gallring över huvud taget inte skett i ifrågavarande journalsystem, som därför inte sällan omfattar även avlidna patienter. Som ovan framgått finns inte heller någon skyldighet att gallra i patientjournaler inom den allmänna hälso- och sjukvården.

Av Socialstyrelsens skrivelse framgår att journalhandlingar inom den enskilda hälso- och sjukvården däremot ofta gallras efter den föreskrivna bevarandetiden. Detta anges bero på att vårdgivare inom den enskilda hälso- och sjukvården inte har samma möjligheter som landsting och kommuner att arkivera journalhandlingar.

Socialstyrelsen föreslår i sin skrivelse en ny huvudregel om en minsta bevarandetid på tio år. Skälen till förslaget är dels att bevarandetiden därigenom blir enhetlig, dels att den treåriga bevarandetiden anses vara alltför kort. Vidare föreslås att en privat vårdgivare skall kunna förvara journalhandlingar som är äldre än tio år hos ett landsting, om landstinget medger det. Skälet till ett sådant omhändertagande skulle enligt skrivelsen kunna vara att den privata vårdgivaren inte har resurser att ta hand om journalerna och det handlar om material som kan vara av intresse för forskningen.

Promemorian Genomförande av EG-direktivet om mänskliga vävnader och celler (Ds 2005:40) innehåller förslag som syftar till att i svensk rätt genomföra Europaparlamentets och rådets direktiv 2004/23/EG om fastställande av kvalitets- och säkerhetsnormer för donation, tillvaratagande, kontroll, bearbetning, konservering, förvaring och distribution av mänskliga vävnader och celler. Direktivet innehåller bestämmelser om bl.a. spårbarhet av mänskliga vävnader och celler. Bland annat finns krav på att uppgifter som är nödvändiga för att garantera fullständig spårbarhet skall bevaras i minst 30 år efter kliniskt bruk. För att uppfylla direktivets krav i denna del föreslås i promemorian att det i 8 § första stycket patientjournallagen görs ett tillägg om att regeringen eller den myndighet regeringen bestämmer får föreskriva att vissa slags journalhandlingar skall bevaras minst 30 år. Förslagen har remissbehandlats och bereds för närvarande inom Regeringskansliet.

Vår bedömning

Det kan finnas goda skäl att, såsom Socialstyrelsen föreslagit, införa en ny huvudregel om en minsta bevarandetid på tio år. Ett sådant förslag skulle, utifrån beskrivningen i Socialstyrelsens skrivelse att döma, framför allt träffa vårdgivare inom den enskilda hälso- och sjukvården. Inom den allmänna hälso- och sjukvården bevaras ju redan journalhandlingar regelmässigt längre tid än den föreskrivna. Enligt vår uppfattning bör en förlängning av den minsta bevarandetiden föregås av en undersökning av vilka möjligheter vårdgivare inom den enskilda hälso- och sjukvården har att bevara journalhandlingar längre tid än vad som krävs i dag. Det förhållandet att journaler i allt större utsträckning förs elektroniskt innebär ju inte nödvändigtvis att det blir lättare att bevara journalhandlingarna. Tvärtom kan det innebära tekniska svårigheter att bevara informationen läsbar under flera år. Vilka konsekvenser en förlängd bevarandetid skulle få för vårdgivare inom enskild hälso- och sjukvård bör också utredas. Detta låter sig dock inte göra inom ramen för vårt uppdrag.

Det är inte heller möjligt att inom ramen för vårt uppdrag utreda om det finns behov av att alla slags journalhandlingar bevaras i minst tio år. Ett förslag om en minsta bevarandetid om tio år skulle ju innebära att även sådana journaler som förs av t.ex. optiker skulle behöva bevaras under denna tid.

Vår uppfattning är således att patientjournallagens bestämmelser om bevarande av journalhandling bör föras över oförändrade till patientdatalagen.

Vi vill framhålla att regeringen även fortsättningsvis kommer att kunna föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Regeringen har alltså möjlighet att föreskriva att t.ex. journalhandlingar som innehåller anteckningar förda av läkare skall bevaras minst tio år. Vi återkommer i avsnitt 11.7.4 till ett fall då regeringens bemyndigande skulle kunna utnyttjas.

10.4.8. Förstörande av journalen

Vår bedömning: Patientjournallagens bestämmelse om journalförstöring behöver inte ändras. Även patientjournallagens bestämmelse om att det skall antecknas i journalen när en journalhandling lämnas ut bör kunna föras över oförändrad till patientdatalagen.

Enligt 17 § patientjournallagen får Socialstyrelsen, efter ansökan av en patient eller annan person som omnämns i en patientjournal, under vissa förutsättningar förordna att en journal helt eller delvis skall förstöras. För detta krävs dels att den enskilde anför godtagbara skäl för ansökan, dels att journalen eller den del därav som skall förstöras uppenbarligen inte behövs för patientens vård och dels att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.

Kravet på godtagbara skäl för ansökan innebär enligt förarbetena att en patient inte har rätt att utan vidare få sin journal eller del av den förstörd. Det krävs att anteckningarna är sådana att det rimligen kan medföra en psykisk belastning eller liknande för patienten om de bevaras (prop. 1984/85:189 s. 50).

Genom inskränkningen att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen ges enligt förarbetena möjlighet att beakta olika samhällsintressen som avser journalmaterialet – t.ex. insynen, forskningen, ekonomin i vården. Det överlämnas till Socialstyrelsen att ange i vilken utsträckning samhället har behov av att journalmaterialet bevaras (a. prop. s. 50).

Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen också gäller vid förstöring av uppgifter i ett vårdregister som grundar sig på dokumentationsskyldighet enligt patientjournallagen.

Förordnandet om förstöring kan avse hela journalen eller en del därav. Det sistnämnda innebär att t.ex. bara ett ord eller en mening tas bort ur journalen. Huruvida det är tillräckligt att enbart personidentiteten tas bort anförde fördragande statsrådet följande (a. prop. s. 30).

Registrering i landstingens patientdatabaser grundas på uppgifter som hämtas från journalerna. När socialstyrelsen beslutar om förstöring av en viss journal skall informationen i databasen också utplånas. Detta brukar uttryckligen anges i besluten. Den frågan har väckts, om det inte kunde räcka med att personidentiteten tas bort och att informationen i övrigt, dvs. främst diagnos och vårdtid, bevaras utan att den kan återföras till den enskilde individen. Avidentifiering skulle ge den fördelen att databasens statistikvärde består. I t.ex. planeringssammanhang vill man ha en komplett bild av sjukvårdskonsumtionen, men uppgifterna behöver nödvändigtvis inte vara personrelaterade. Förstöringen avser i första hand att tillvarata patientens integritetsintressen. Registreringen i patientdatabaserna är mycket summarisk. Jag bedömer att syftet med bestämmelsen måste anses uppnått om de kritiserade uppgifterna förstörs och om kopplingen mellan journalen och andra informationskällor upphävs. Enbart utplåning av personuppgifterna bör således kunna

accepteras i just detta fall. Däremot är samma förfarande inte tillräckligt när det gäller själva journalen – antingen denna förs konventionellt eller med ADB-teknik – eftersom journalen innehåller en avsevärt större mängd uppgifter, som när de sammanställs kan göra att identiteten ändå går att härleda.

Bestämmelsen om journalförstöring innebär att samtliga journalhandlingar som innehåller uppgifter som enligt beslut skall förstöras omfattas av beslutet. Förstöring skall således ske av både originalhandlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen, måste följaktligen handlingen begäras åter (a. prop. s. 49). I 7 § andra stycket patientjournallagen föreskrivs att om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det antecknas i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Dessa anteckningar syftar bl.a. till att underlätta arbetet med att spåra journalhandlingar.

I 17 § patientjournallagen föreskrivs vidare att innan ansökan slutligt prövas, skall den som ansvarar för patientjournalen beredas tillfälle att yttra sig. Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att journalen förs (a. prop. s. 50). I de fall det finns journalhandlingar hos någon annan än den som ansvarar för journalen kan även denne behöva höras under ärendets handläggning. Enligt förarbetena är det av vikt att bl.a. domstolarnas särskilda behov av att bevara visst bevismaterial kan beaktas (a. prop. s. 30).

Om Socialstyrelsen har avslagit en ansökan om förstöring av en patientjournal, får beslutet överklagas hos allmän förvaltningsdomstol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.

Socialstyrelsen har upplyst att det under år 2004 inkom 394 ärenden om journalförstöring. Som skäl för ansökan anges vanligtvis att uppgifterna är felaktiga, kränkande, missvisande eller onödiga och att sökanden därför befarar att få felaktig vård. Sökandena är även rädda för att journaluppgifterna sprids. Det börjar också bli vanligt att ansökningarna motiveras med att journalanteckningarna utgör hinder för att teckna försäkring, inte minst för små barn, eller att få försäkringsersättningar av olika slag via Försäkringskassan eller försäkringsbolag. Andra skäl som tillkommit på senare år är hänvisning

till ömtåliga uppgifter i samband med könsbyte, artificiell befruktning, abort m.m. Merparten av ärendena rör vårdområdena psykiatri, primärvård och vissa delar av akutsjukvården. År 2004 avgjordes 370 ärenden om journalförstöring, varav 235 beviljades helt eller delvis.

I den tidigare nämnda skrivelsen om patientjournallagen (se avsnitt 10.2.1) påtalar Socialstyrelsen att det saknas möjlighet för styrelsen att få ett beslut om förstörande av en kopia som förvaras hos annan myndighet, domstol, enskilt organ eller enskild person verkställt. Vidare påtalas att det är i högsta grad osäkert vad det har för rättsliga konsekvenser att en eventuell kopia av journalen inte garanterat går att förstöra. Socialstyrelsen föreslår att det i bestämmelsen om journalförstöring införs ett nytt stycke, vari anges att en patientjournal får förstöras även om kopior av journalen kommer att bevaras hos någon annan än vårdgivaren. Syftet med tillägget skulle vara att tydliggöra att det inte kan anses föreligga allmänna skäl att vägra förstöring av en journal eller del av en journal av den anledningen att en kopia finns hos någon annan än den vårdgivare som ansvarar för journalhandlingen.

Av skrivelsen framgår också att Socialstyrelsen i en skrivelse till Socialdepartementet år 1999 framfört förslag om att föra över handläggning och beslut i ärenden om journalförstöring till den landstingsnämnd som ansvarar för den verksamhet där journalen förts. Ansökan beträffande journal i enskild hälso- och sjukvård föreslogs bli prövad av den landstingsnämnd som har ansvar för hälso- och sjukvården inom det område där den privata vårdgivaren bedriver sin verksamhet. Regeringen fann dock inte att tillräckliga skäl för ändring av reglerna om förstörande av journal eller journaluppgifter framkommit. Socialstyrelsen har också till utredningen framfört att patientens rätt till journalförstöring inte bör vara en fråga för styrelsen.

Vår bedömning

Inledningsvis kan konstateras att frågan huruvida ärenden om journalförstöring skall handläggas och beslutas av Socialstyrelsen eller av någon annan myndighet inte kan utredas inom ramen för vårt uppdrag.

Enbart det förhållandet att en kopia av den journalhandling som ansökan om journalförstöring avser finns hos någon annan än den

vårdgivare som ansvarar för journalhandlingen kan enligt vår uppfattning inte utgöra skäl att avslå ansökan. Ett beslut om att en journalhandling skall förstöras avser ju tvärtom även eventuella kopior eller avskrifter, oavsett om dessa finns inom eller utanför hälso- och sjukvården.

Att ett beslut om journalförstöring eventuellt inte kommer att verkställas beträffande en kopia eller avskrift som förvaras hos någon annan än den vårdgivare som ansvarar för journalhandlingen, kan enligt vår uppfattning inte anses medföra att en ansökan skall avslås med motiveringen att det från allmän synpunkt inte uppenbarligen saknas skäl att bevara journalen. Som framgått tidigare avser denna begränsning i stället samhällets eventuella behov av att journalmaterialet bevaras.

Vi gör alltså bedömningen att det inte finns något behov att införa det av Socialstyrelsen föreslagna tillägget i bestämmelsen om journalförstöring.

Vi vill särskilt framhålla att möjligheten att få en journal förstörd är av stor betydelse för skyddet av patienternas integritet (se prop. 1984/85:189 s. 29). Denna möjlighet får än större betydelse om man skapar stora sjukhusgemensamma journaler eller om flera vårdgivare deltar i sammanhållen journalföring, eftersom journalanteckningarna då kan komma att läsas av fler personer inom hälso- och sjukvården än i dag.

Det har till utredningen kommit signaler om att det finns vissa problem vad gäller förstöring av uppgifter i elektroniska journaler. Även efter ett beslut om förstöring finns uppgifterna ibland kvar i ett back up system. Vi vill här framhålla att det redan i dag följer av Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen att journalsystemen skall vara så utformade att det finns möjlighet att förstöra hela eller delar av patientjournalen. Enligt vår uppfattning är det också av vikt att det finns rutiner för att säkerställa att förstöringen även omfattar eventuella uppgifter i back up kopior.

Sammanfattningsvis gör vi bedömningen att patientjournallagens bestämmelse om journalförstöring kan föras över oförändrad till patientdatalagen. Även patientjournallagens bestämmelse om att det skall antecknas i journalen när en journalhandling lämnas ut bör kunna föras över oförändrad till patientdatalagen. I avsnitt 11 och 13 kommer vi dock att behandla frågan om undantag från den sist nämnda bestämmelsen. Undantagen avser de fall att utlämnande sker genom direktåtkomst till den elektroniskt förda journalen.

10.4.9. Omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården samt återlämnande av omhändertagna journaler

Vår bedömning: Patientjournallagens bestämmelser om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler och om utlämnande av uppgifter ur omhändertagna journalhandlingar behöver inte ändras.

I 11 § patientjournallagen regleras Socialstyrelsens möjligheter att besluta att patientjournaler inom enskild hälso- och sjukvård skall tas om hand.

Enligt första stycket får beslut om omhändertagande meddelas om det på sannolika skäl kan antas att journalerna inte kommer att handhas enligt föreskrifterna i patientjournallagen eller enligt föreskrifter som meddelats med stöd av lagen. Därvid avses främst bestämmelserna om hantering och förvaring samt minsta tid för bevarande av journalhandlingar.

En situation då ett omhändertagande enligt första stycket kan bli aktuellt är enligt förarbetena när en privat vårdgivare avlider. Tas inte verksamheten över av någon annan vårdgivare kan det ofta antas att det kommer att brista i det framtida handhavandet av patientjournalerna. En annan situation då ett omhändertagande kan bli aktuellt är när en legitimerad vårdgivare får sin legitimation återkallad (prop. 1991/92:104 s. 22).

En fråga om omhändertagande enligt första stycket kan tas upp av Socialstyrelsen när anledning finns därtill och någon formell anmälan eller ansökan behövs inte.

Enligt andra stycket kan omhändertagande också ske på ansökan av den som ansvarar för hanteringen av journalerna om det finns ett påtagligt behov av att journalerna tas om hand. Med den som ansvarar för patientjournalen avses enligt förarbetena den som ytterst ansvarar för hanteringen av handlingarna i journalen vilket inte alltid är densamma som den som enligt 9 § är ansvarig för uppgifterna i patientjournalen. Är den enskilde yrkesutövaren anställd ligger ansvaret för att föreskrifterna om hantering och bevarande av journalhandlingar följs i stället på arbetsgivaren, den som driver verksamheten (prop. 1991/92:104 s. 11 och 23).

Ett exempel på när det kan finnas ett påtagligt behov av att journalerna tas om hand är när en vårdgivare inom enskild hälso- och

sjukvård avslutar eller avbryter sin verksamhet och flyttar utomlands. För att handlingarna skall vara åtkomliga för patienter och andra bör då en förvaring ordnas här i landet (a. prop. s. 23).

Tredje stycket reglerar när en omhändertagen patientjournal skall återlämnas. En första förutsättning för detta är att ett återlämnande alls är möjligt, dvs. att journalhandlingarna inte förstörts efter utgången av minsta tiden för bevarande. Vidare förutsätts för beslut om återlämnande att det inte finns skäl för omhändertagande enligt första stycket.

Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Enligt 12 § patientjournallagen skall omhändertagna patientjournaler förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommuner som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.

I 13 § patientjournallagen anges att ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet. Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

Socialstyrelsens beslut i fråga om omhändertagande eller återlämnande av patientjournaler får enligt 14 § patientjournallagen överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Patientjournallagen innehåller också en särskild bestämmelse beträffande utlämnande av uppgifter ur omhändertagna journalhandlingar. Enligt 15 § andra stycket har en myndighet som har hand om en patientjournal upprättad inom enskild hälso- och sjukvård, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

I förarbetena till bestämmelsen (a. prop. s. 16 f. och 25 f.) utgick föredragande statsrådet från att en journalhandling inom enskild hälso- och sjukvård som omhändertagits efter beslut av Socialstyrelsen blir allmän handling när den kommer in till arkivmyndigheten. Det innebär att den i tryckfrihetsförordningen föreskrivna rätten att ta del av allmänna handlingar då kommer att gälla beträffande journalhandlingen. Av det skälet infördes en bestämmelse i sekretesslagen (nuvarande 7 kap. 1 c § tredje stycket) om sekretess för uppgift

om enskilds hälsotillstånd eller andra personliga förhållanden i verksamhet som avser omhändertagande av patientjournal. Eftersom omhändertagna patientjournaler kommer från den enskilda hälso- och sjukvården där det – till skillnad från patientjournaler inom allmän hälso- och sjukvård – saknas en allmän rätt för annan än patienten att ta del av uppgifterna i journalerna, begränsades möjligheterna att lämna ut uppgifter ur omhändertagna journaler utan patientens medgivande. Uppgift får, enligt den nämnda bestämmelsen i sekretesslagen, lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas. Enligt förarbetena innebär detta i princip att endast läkare, tandläkare eller andra vårdgivare inom allmän eller enskild hälso- och sjukvård som verkligen behöver uppgifterna för vård eller behandling skall ha rätt att ta del av dessa utan patientens medverkan. I övrigt måste patientens samtycke först inhämtas. Som exempel på situationer när ett utlämnande bör kunna ske utan inhämtande av samtycke från den enskilde nämns att uppgiften är av mycket stor eller t.o.m. avgörande betydelse för vård av den som uppgiften rör men att denne inte kan lämna sitt medgivande på grund av medvetslöshet eller annat.

Bestämmelsen i 15 § andra stycket patientjournallagen innebär en uppgiftsskyldighet för arkivmyndigheten och avser fall då den som varit ansvarig för journalhandlingarna före beslutet om omhändertagande varit skyldig att lämna ut i övrigt sekretessbelagda uppgifter i handlingarna. Sådan uppgiftsskyldighet föreligger, enligt förarbetena, exempelvis för uppgifter som kan behövas i ett tillsynsärende hos Socialstyrelsen och uppgifter som smittskyddsläkaren behöver för att kunna fullgöra sina uppgifter enligt smittskyddslagen m.m. Eftersom arkivpersonal m.fl. endast har i uppgift att förvara handlingarna och normalt inte har anledning att studera dessa, begränsades arkivmyndighetens skyldighet att lämna uppgift till att uppgiften begärts för särskilt fall. Det innebär, enligt förarbetena, att en begäran om utlämnande inte får utformas så att exempelvis vissa typer av uppgifter som kan finnas i omhändertagna handlingar alltid skall lämnas.

Med den som ansvarat för journalen avses i 15 § andra stycket patientjournallagen var och en som före överlämnandet haft ett ansvar för journalen. Det är inte knutet till den som hade ansvaret vid tidpunkten för överlämnandet. Att bl.a. en arkivmyndighet har samma skyldighet att lämna uppgifter som den tidigare journalansvarige innebär, enligt förarbetena, exempelvis att en uppgift i en journalhandling som tillhört en läkare inom enskild hälso- och sjukvård

och som omhändertagits enligt bestämmelserna i patientjournallagen skall lämnas ut av arkivpersonalen om läkaren hade varit skyldig att lämna uppgiften. Det är däremot inte tillräckligt att läkaren hade haft rätt att lämna ut uppgiften utan det krävs att han eller hon varit skyldig att göra det.

I Socialstyrelsens tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) föreslås ingen ändring av bestämmelserna om omhändertagande. Socialstyrelsen anger dock att den i allmänna råd kommer att förtydliga i vilka fall omhändertagande av journaler skall kunna ske på ansökan av de som är ansvarig för journalerna.

Vår bedömning

Det ingår inte uttryckligen i vårt utredningsuppdrag att se över ifrågavarande bestämmelser och det har inte heller framkommit något behov av att göra några ändringar av dessa. Bestämmelserna kan alltså föras över oförändrade till patientdatalagen.

10.4.10. Ytterligare föreskrifter

Vår bedömning: Det behövs inte några delegationsbestämmelser utöver de som i dag finns i patientjournallagen och den som föreslås i fråga om signeringskravet (se avsnitt 10.4.4).

I 18 § patientjournallagen anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från två av kraven på journalens innehåll. Ett av undantagen har redan berörts i det föregående, nämligen i fråga om journalspråket (se avsnitt 10.4.5). Det andra undantaget gäller kravet på att i journalen anteckna patientens identitet. I sistnämnt fall får undantag föreskrivas vid provtagning för viss sjukdom. Med stöd av denna delegationsbestämmelse har regeringen i förordningen (1986:198) om provtagning vid infektion av HIV medgett patienten rätt att på begäran få ta prov anonymt.

Vidare får enligt 19 § patientjournallagen regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om en journalhandlings innehåll, utformning och hantering. Regeringen har vidaredelegerat denna föreskriftsrätt till Socialstyrelsen genom förordningen (1985:796) med vissa bemyndiganden för

Socialstyrelsen att meddela föreskrifter m.m. Som redan angetts i det föregående har Socialstyrelsen meddelat flera sådana föreskrifter.

Slutligen finns en bestämmelse i 20 § patientjournallagen om att regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

Vår bedömning

Vi har i avsnitt 10.4.4 föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela föreskrifter om undantag från signeringskravet.

Vi har tidigare redogjort för det viktiga arbete som pågår rörande framtagande av en enhetlig informationsstruktur samt normering av begrepp och termer. Vi utgår från att detta arbete kommer att utmynna i diverse föreskrifter. Dessa kommer enligt vår uppfattning att kunna meddelas med stöd av delegationsbestämmelsen i nuvarande 19 § patientjournallagen.

Det har vid vår översyn av bestämmelserna i patientjournallagen inte framkommit något behov av att, utöver förslaget i fråga om signeringskravet, ändra nuvarande delegationsbestämmelser.

Som framgått tidigare kommer vi i avsnitt 12 att behandla patientjournallagens bestämmelse om inre sekretess. Bestämmelsen föreskriver hur journalhandlingar skall hanteras och förvaras. Bemyndigandet i 19 § patientjournallagen för regeringen, eller den myndighet som regeringen bestämmer (Socialstyrelsen), att meddela föreskrifter om bl.a. journalhandlingars hantering omfattar således denna bestämmelse. Socialstyrelsen har också i sina föreskrifter och allmänna råd om patientjournallagen utfärdat föreskrifter i dessa frågor. Vi vill redan nu framhålla att det förhållandet att bestämmelsen om inre sekretess inte kommer att ingå i patientdatalagens kapitel om journalföring inte betyder att delegationen inskränks. Det kommer således alltjämt vara möjligt för Socialstyrelsen att utfärda föreskrifter om hur journalhandlingar skall hanteras och förvaras.

11. Närmare om sammanhållen journalföring

11.1. Inledning

I dag pågår inom flera landsting en utbyggnad av elektroniska journalsystem som är gemensamma för allt fler kliniker eller andra vårdenheter och som därigenom möjliggör en allt bredare tillgänglighet till journalinformation för landstingets hälso- och sjukvårdspersonal. Vårt förslag om att tillåta sammanhållen journalföring över vårdgivargränser innebär i princip en än mer vidgad tillgänglighet till journalinformation. Syftet härmed är givetvis i första hand att genom utnyttjande av modern informationsteknik öka patientnyttan i form av ökad patientsäkerhet; viktig medicinsk information om patienten skall kunna tas fram när den behövs i den individinriktade verksamheten. Kontinuiteten i hälso- och sjukvården får bättre förutsättningar med sådana möjligheter. Kontinuitet är inte minst viktig med tanke på att numera inte sällan allt fler vårdenheter och vårdgivare samverkar i vårdkedjor eller liknande, vilka sakligt sett och för den enskilde patienten ter sig som sammanhängande processer. Att en sådan kontinuitet finns, torde ha stor betydelse för allmänhetens förtroende för hälso- och sjukvården och den enskildes upplevelse av trygghet i vården. För vissa patientgrupper såsom de s.k. multisjuka patienterna är kontinuitet av särskilt stor betydelse.

Samtidigt är det viktigt att den breddade tillgängligheten inte sker till priset av ett äventyrat förtroende för att patienternas personliga integritet respekteras inom hälso- och sjukvården. Tveklöst är patientjournalföring något av den mer integritetskänsliga dokumentation som systematiskt förekommer i vårt samhälle. Informationen rör så gott som alltid privata förhållanden om hälsa och ibland även om sexualliv, sociala förhållanden m.m. Enligt det synsätt som personuppgiftslagen (1998:204) ger uttryck för, utgör uppgifter om hälsa och sexualliv per definition känsliga personuppgifter oavsett i vilka sammanhang de förekommer och är som sådana kringgärdade av särskilda restriktioner när det gäller behandling av personuppgifter

(1320 §§personuppgiftslagen). Att förhållandena är rent privata syftar även på i vilket sammanhang dokumentationen sker. Hälso- och sjukvården handlar ju om en verksamhet som i allt väsentligt hör till enskilda människors helt privata sfär; vård och behandling för hälsoproblem och liknande medicinsk verksamhet där man som hjälpbehövande patient inte sällan befinner sig i en utsatt position. Sekretesslagen (1980:100) kan sägas ge uttryck härför genom att hälso- och sjukvårdssekretessen är knuten till den verksamhet vari uppgifter om hälsotillstånd och andra personliga förhållanden förekommer (7 kap. 1 c § sekretesslagen enligt lydelse fr.o.m. den 1 oktober 2006). Först nu (dvs. fr.o.m. den 1 oktober 2006) har en sekretessbestämmelse införts som ger särskilt integritetskänsliga uppgifter om enskilds hälsa och sexualliv ett generellt minimiskydd i hela den offentliga förvaltningen, dock ett skydd som inte är tillnärmelsevis lika starkt som hälso- och sjukvårdssekretessen.

Mot bakgrund av det sagda är det givetvis inte tillfredsställande från integritetssynpunkt att journalinformation genom ny tekniks införande utan restriktioner görs åtkomlig för en vidare krets vårdgivare – och därigenom en stor mängd hälso- och sjukvårdspersonal – i en för den enskilda patienten oöverblickbar vårdapparat. Vårt förslag om öppnade möjligheter till för flera vårdgivare sammanhållen journalföring måste därför förenas med ett regelverk som syftar till att ge ett tillfredsställande skydd för enskildas personliga integritet. I detta avsnitt behandlar vi dessa frågor i de inledande avsnitten 11.2– 11.3. Av central betydelse för integritetsskyddet är givetvis även bestämmelserna om sekretess och tystnadsplikt i sekretesslagen och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Sekretessfrågor behandlas i avsnitt 11.5.

En för flera vårdgivare sammanhållen journalföring reser en hel del frågeställningar angående hur en sådan ordning förhåller sig till grundläggande regler om allmänna handlingar i tryckfrihetsförordningen, sekretesslagen och arkivlagen (1990:782). Vi har frågat oss vilka konsekvenser lagstiftning av detta slag har för en för flera vårdgivare sammanhållen patientjournalföring och om dagens bestämmelser innebär problem av något slag som bör eller kan lösas inom ramen för vårt arbete. Även frågor om förhållandet till patientdatalagens och personuppgiftslagens regler om personuppgiftsansvar aktualiseras liksom förhållandet till den reglering av patientjournalföring som i dag finns i patientjournallagen men som vi föreslår skall överföras till patientdatalagen, se avsnitt 10. De nämnda frågorna behandlas i avsnitt 11.4–11.8.

11.2. Innebörden av sammanhållen journalföring

Vårt förslag: I patientdatalagen införs en reglering som innebär att vårdgivare kan – under vissa förutsättningar – få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Härigenom möjliggörs för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp system för sammanhållen journalföring i gemensamma databaser eller andra gränsöverskridande informationssystem för vårddokumentation.

Såsom vi redovisat i avsnitt 9.4.5 föreslår vi att patientdatalagen uttryckligen skall tillåta vårdgivare att på frivillig basis bygga upp gemensamma databaser eller andra gemensamma elektroniska informationssystem som gör det möjligt för dem att ge och få elektronisk tillgång till uppgifter om patienter som finns hos annan vårdgivare, dvs. uppgifter som finns i varandras journalhandlingar eller i annan vårddokumentation. Vi kallar detta för sammanhållen journalföring.

Vårt förslag innebär att det grundläggande systemet för patientjournalföring inte behöver förändras. Vad som menas med patientjournal och journalhandling har berörts i bl.a. avsnitt 10.4.4. Här kan tillfogas att patientjournalen närmast är en sammanhållande term för den samling av sinsemellan fristående journalhandlingar som har det gemensamt att de i vidare mening berör vården av en patient (se t.ex. prop. 1994/85:189: s. 15). För själva begreppet patientjournal innebär det inte någon avgörande skillnad om journalhandlingar samlas från flera vårdgivare eller inte. En patientjournal kan med andra ord bestå av journalhandlingar från en enda eller från flera vårdgivare. Vi ser alltså inte anledning att införa en helt ny juridisk begreppsfigur för det senare fallet.

Fortfarande är emellertid ansvaret för själva journalföringen i första hand knutet till den journalföringspliktiga yrkesutövaren. Varje elektronisk journalhandling kommer med vårt förslag även i fortsättningen att vara knuten till en viss vårdgivare som ansvarar för handlingar som upprättas eller inkommer i den egna verksamheten.

Vad vårt förslag handlar om är alltså en reglering som tillåter olika slags system för att göra vårddokumentation åtkomlig över vårdgivargränser genom den elektroniska utlämnandeformen direktåtkomst. För en redovisning av vad vi menar med direktåtkomst hänvisas till avsnitt 8.7. Här skall kort och förenklat bara anges att direktåtkomst innebär att uppgifter lämnas ut till en extern mottagare genom att

denne får en möjlighet att på eget initiativ och elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Vi har i avsnitt 8.7 även föreslagit att direktåtkomst bara skall vara tillåten i den utsträckning som medges i lag eller förordning. Vi föreslår därför att det i patientdatalagen tas in en bestämmelse som tillåter direktåtkomst för sammanhållen journalföring. Vidare föreslår vi en uttrycklig bestämmelse som anger vad vi menar med sammanhållen journalföring, nämligen en gemensam databas eller ett annat elektroniskt system, som gör det möjligt för vårdgivare att ge och få direktåtkomst till personuppgifter hos en eller flera andra vårdgivare.

Enligt vårt förslag skall sammanhållen journalföring få omfatta inte bara journalhandlingar utan även annan vårddokumentation (se om vårddokumentation i avsnitt 8.2.3). Av detta framgår bl.a. att det i ett system för sammanhållen journalföring inte finns något hinder mot att vårdgivarna upprättar gemensamma patientöversikter med t.ex. sammanställningar av viss basinformation, sökregister m.m.

Hur systemen kommer att byggas upp får vårdgivarna själva bestämma. Den reglering av förutsättningar för direktåtkomsten som vi föreslår i det följande, kommer dock att innebära vissa krav på systemen. Med det menar vi att systemen tekniskt och organisatoriskt måste utformas och anpassas så att dessa krav kan uppfyllas. Detsamma gäller även i fråga om direkta eller indirekta krav i annan reglering. Informationssäkerheten måste – för att ta något exempel – anpassas inte bara till uttryckliga bestämmelser i patientdatalagen eller personuppgiftslagen utan även till sekretesslagen och arkivlagen.

Det kan anmärkas att förslagen i det följande – om förutsättningar för sammanhållen journalföring – inte innebär några inskränkningar över huvud taget i förhållande till de möjligheter som i dag finns till överföring, elektroniskt eller manuellt, av journalhandlingar eller andra patientuppgifter mellan vårdgivare. De krav som uppställs för den sammanhållna journalföringen är alltså helt knutna till att utlämnandet sker just genom direktåtkomst. För informationsutbyte på andra sätt kommer i princip samma regler att gälla som i dag. I avsnitt 14 kommer vi dock att föreslå vissa ytterligare ändringar som underlättar informationsutbytet i det individinriktade arbetet.

11.3. Patientens inflytande m.m. vid sammanhållen journalföring

Vårt förslag: Patienten får en rätt att – efter att ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Sådana uppgifter skall spärras. Ett system för sammanhållen journalföring får innehålla information om att det finns spärrade uppgifter.

För att en vårdgivare skall få bereda sig tillgång till ospärrade uppgifter krävs att 1) uppgifterna rör en patient som vårdgivaren har en aktuell

patientrelation med och uppgifterna kan antas ha betydelse för vården (dvs. vård, undersökning och behandling) av patienten samt

2) patienten samtycker till det eller, om patientens samtycke

inte kan inhämtas, uppgiften kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Med patientens samtycke får direktåtkomsten också användas om det behövs för att på patientens begäran utfärda intyg om patientens pågående eller tidigare vård.

Direktåtkomsten får därutöver inte användas för några andra ändamål, inte ens med patientens samtycke.

Ett vanligt sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde skall kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra (se t.ex. prop. 1997/98:108 s. 27).

En grundläggande principfråga i detta sammanhang är därför i vad mån patienten bör ha något inflytande över den potentiellt sett breda tillgänglighet till journaluppgifter som informationstekniken möjliggör. Frågan har enligt vår uppfattning relevans inte bara när det gäller vårt förslag om för flera vårdgivare sammanhållen journalföring utan även för de gemensamma journalsystem som redan finns eller är under utveckling inom stora vårdgivare, t.ex. i landsting som centrerar all hälso- och sjukvård i samma nämnd, eller Praktikertjänst AB med ett stort antal mottagningar och anställda spridda över landet. Den frågeställningen behandlas emellertid först i nästa

avsnitt, avsnitt 12. I detta avsnitt diskuteras endast patientens inflytande i samband med för flera vårdgivare sammanhållen journalföring.

11.3.1. Vad gäller i dag?

Såsom närmare beskrivits i avsnitt 10.4.3 är det en skyldighet för vissa yrkeskategorier inom hälso- och sjukvården att föra patientjournaler. Denna skyldighet gäller oberoende av patientens inställning till dokumentationen som sådan. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som motsätter sig journalföringen antingen avstå från vården eller låta bli att lämna upplysningar som annars skulle ha antecknats i journalen. I detta avseende kan sägas att gällande rätt avspeglar lagstiftarens prioritering av andra intressen framför patientintegritet; främst intresset av att patienten får en god och säker vård men även bl.a. rättssäkerhets- och tillsynsintressen (se t.ex. prop. 1984/85:189 s. 14).

Förs en patientjournal elektroniskt, ingår den i ett vårdregister som omfattas av lagens (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagens tillämpningsområde. Enligt dessa lagar får personuppgifter behandlas i vårdregister oberoende av patientens inställning till personuppgiftsbehandlingen. Patientens samtycke till registreringen eller annan personuppgiftsbehandling krävs alltså inte. I vårdregisterlagens förarbeten anfördes bl.a. att en konsekvens av ett samtyckeskrav skulle vara att en vårdgivare som önskar använda IT för journalföring, måste föra patientjournaler enligt två parallella system, ett manuellt för det fåtal patienter som inte accepterar automatiserad behandling och ett automatiserat för övriga patienter (prop. 1997/98:108 s. 83 f.). Enligt regeringen skulle en sådan dubbelregistrering kunna få otillfredsställande återverkningar både på den arbetsmässiga och på den finansiella situationen för registerhållaren.

Enligt gällande rätt har en patient således inget rättsligt sanktionerat inflytande över huruvida patientjournaler förs eller huruvida de förs elektroniskt.

Inte heller har patienten någon omedelbar rätt enligt regleringen för personuppgiftsbehandling – i personuppgiftslagen eller vårdregisterlagen – till inflytande över eventuell överföring av journaluppgifter mellan olika vårdgivare, om överföringen sker i vårdsyfte eller för andra ändamål som avses i 3 § eller 4 § vårdregisterlagen.

Patientens rätt i sistnämnt avseende härrör i stället från grundläggande regler om respekt för patientens självbestämmande och integritet i hälso- och sjukvårdslagen (1982:763) samt i regler i sekretesslagen respektive lagen om yrkesverksamhet på hälso- och sjukvårdens område.

Hälso- och sjukvårdslagens principbestämmelse om respekt för patientens självbestämmande och integritet samt att vården så långt möjligt skall utföras i samråd med patienten gäller nämligen inte bara i fråga om den mer fysiska integriteten, exempelvis i fråga om vilka faktiska behandlingsåtgärder och liknande som skall vidtas. Bestämmelsen är generellt utformad och har även bäring på hanteringen av information om patienten. Bestämmelsen anses t.ex. föra med sig att det är ett naturligt inslag i vården att patientens samtycke inhämtas till att hans eller hennes journalhandling lämnas vidare till en annan vårdenhet (prop. 1990/91:111 s. 24). Även i lagen om yrkesverksamhet på hälso- och sjukvårdens område föreskrivs att hälso- och sjukvårdspersonal så långt möjligt skall utforma och genomföra vården i samråd med patienten och visa patienten omtanke och respekt (2 kap. 1 §).

Frågan om sekretesslagen och sammanhållen journalföring kommer närmare att behandlas i avsnitt 11.5. Redan här kan kortfattat nämnas att journalhandlingar och annan vårddokumentation omfattas av hälso- och sjukvårdssekretess och presumeras vara hemliga. Det krävs därför som huvudregel att en undantagsbestämmelse är tillämplig för att en uppgift skall kunna lämnas ut. En sådan bestämmelse är att den enskilde kan helt eller delvis efterge sekretess som gäller till skydd för honom eller henne, se 14 kap 4 § sekretesslagen; dvs. patienten kan samtycka till att uppgifter lämnas ut. Det finns också andra bestämmelser som innebär att hälso- och sjukvårdssekretessen inte hindrar att en uppgift lämnas, se närmare avsnitt 11.5. Över tillämpningen av de sistnämnda bestämmelserna har den enskilde inget inflytande.

När det gäller privat hälso- och sjukvård finns ingen uttrycklig bestämmelse som ger den enskilde patienten ett generellt inflytande över om uppgifter om honom eller henne får eller inte får lämnas ut. I praktiken tillmäts patientens inställning dock en stor betydelse i sammanhanget.

11.3.2. Utgångspunkter

Enligt vår uppfattning är det av samma skäl som anförts i förarbetena till vårdregisterlagen, se ovan, eftersträvansvärt att den nya regleringen och möjligheterna till sammanhållen journalföring inte kombineras med restriktioner som tvingar vårdgivarna att hålla sig med parallella, separata informationssystem; ett system för patienter som accepterar den sammanhållna journalföringen och ett system för dem som inte gör det. I stället bör regleringen ta sikte på hur tillgängligheten till journalinformation och annan vårddokumentation skall kunna begränsas i syfte att skydda patienters personliga integritet. En viktig utgångspunkt i våra överväganden i denna fråga är att hitta lösningar som är praktiskt smidiga och så pass enkla att tillämpa att de inte skapar en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete som riskerar att förta nyttan i stort med sammanhållen journalföring.

En ytterligare utgångspunkt för övervägandena i det följande är att det i första hand inte handlar om sekretessfrågor eller andra lagstiftningstekniska problem utan att fokus i stället sätts på frågorna i sak. Hur bör ett tillfredsställande integritetsskydd konstrueras? I vad mån bör detta skydd ta sig uttryck i att patienten har medbestämmanderätt över informationstillgången i sådana breda system som sammanhållen journalföring kan innebära? Hur kan medbestämmandet i så fall konkretiseras? Bör det vara inriktat redan på skede 1, den situation då journalföring sker eller först på skede 2, den senare situationen när det är aktuellt att ta del av en annan vårdgivares tidigare journaluppgifter? Eller både och?

11.3.3. Skede 1 – Patientens möjlighet att ta ställning till om uppgifter skall vara tillgängliga via sammanhållen journalföring

Redan den omständigheten att uppgifter är potentiellt sett tillgängliga kan av olika anledningar vara skrämmande för många patienter. Enligt vår uppfattning är det därför av avgörande betydelse för integritetsskyddet att patienten har möjlighet att få gehör för sin inställning redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras; alltså redan då uppgifterna kan göras potentiellt sett tillgängliga även för andra vårdgivare som deltar i ett system för sammanhållen journalföring. En annan ordning

skulle, menar vi, inte rimma med den hörnsten i hälso- och sjukvårdslagstiftningen som går ut på att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och att vården och behandlingen skall så långt möjligt utformas och genomföras i samråd med patienten.

När det gäller de närmare övervägandena om hur patientens inställning skall beaktas kan anmärkas att det i våra första tilläggsdirektiv anges att vår utgångspunkt ”… skall, liksom i dag, vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till utbyte av information om honom eller henne och till alla konkreta åtgärder som vidtas för dennes vård och behandling. Om undantag från denna huvudregel föreslås skall fördelar och nackdelar med ett sådant förslag noggrant belysas.”

Vi är emellertid inte övertygade om det lämpliga i att kräva ett uttryckligt – skriftligt eller muntligt – och informerat samtycke när det gäller huruvida vårddokumentation skall få göras tekniskt sett tillgänglig för andra vårdgivare i en sammanhållen journalföring. Vi befarar att det skulle kräva alltför mycket merarbete för hälso- och sjukvården sedd som helhet att dagligen administrera detta inhämtande av uttryckligt samtycke från varje ny eller nygammal patient, en oro som erfarenheter från införandet av lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) ger visst fog för.

Ett krav på uttryckligt och informerat samtycke avviker vidare från vad som gäller för hälso- och sjukvårdsverksamhet i övrigt där något absolut krav på att samtycke till vårdåtgärder skall vara uttryckligt och informerat inte uppställs utom i vissa särskilt reglerade fall. Presumerade eller tysta samtycken accepteras i inte ringa utsträckning (se t.ex. redogörelsen för olika slags samtycken i Rynning, Samtycke till medicinsk vård och behandling – En rättsvetenskaplig studie, Uppsala 1994, s. 316 f.). Inte heller i sekretesslagen uppställs krav på att enskilds samtycke till ett uppgiftsutlämnande skall vara uttryckligt och informerat (se vidare avsnitt 11.5).

Mot bakgrund av det sagda anser vi att det finns starka skäl att införa något annat slag av samtycke än det uttryckliga och informerade när det gäller sammanhållen journalföring. Vi föreslår därför att patienten vid varje vårdepisod skall ha en möjlighet att motsätta sig att vårddokumentation görs tillgänglig för utomstående vårdgivare. Det innebär dock inte att den enskilde får en rätt att motsätta sig att uppgifter journalförs eller annars dokumenteras i det elektroniska system som vårdgivaren använder. Det innebär bara att upp-

giften på den enskildes begäran spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direktåtkomst föreslås således inte få förekomma till spärrade uppgifter. Det skall med andra ord inte vara tekniskt möjligt för extern personal att läsa spärrad information.

Vi föreslår inte något undantag som innebär att en spärr i en akut nödsituation får forceras av en extern vårdgivare. Den enskildes aktiva ställningstagande om att uppgifter inte skall finnas potentiellt tillgängliga bör enligt vår uppfattning respekteras obetingat. Det ligger emellertid i sakens natur att en spärr skall på enskilds begäran kunna hävas, men då av den vårdgivare som lagt in spärren.

Däremot föreslår vi att det i ett system för sammanhållen journalföring skall kunna få ingå uppgift om att systemet innehåller spärrad information. Det tror vi kan ha fördelar i enskilda vårdsituationer genom att kunna öppna upp en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. Av integritetsskäl bör det dock inte framgå något mer än att det finns spärrad information.

Det sagda om spärrad information kräver elektroniska informationssystem som rent tekniskt är konstruerade för att hantera detta. Enligt vad vi erfarit finns det redan i vissa befintliga journalsystem funktioner för att begränsa åtkomst eller spärra information. Vi förutsätter att våra förslag i detta hänseende inte på ett negativt sätt kommer att försvåra utvecklingen av IT i hälso- och sjukvården. Vidare menar vi att det får ankomma på vårdgivare att skapa rutiner och system som innebär att den ordningen att journalförare ibland måste spärra uppgifter inte medför något nämnvärt merarbete för personalen.

Något krav på samtycke i den mening som avses i personuppgiftslagen såsom förutsättning för personuppgiftsbehandlingen föreslås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för att journaluppgifter lämnas ut till andra vårdgivare genom införande i ett system för sammanhållen journalföring.

Givetvis måste denna opt out-ordning kombineras med krav på att patienten blir informerad om att journalföring m.m. avses ske i en för flera vårdgivare sammanhållen journalföring och, inte minst viktigt, om sin rätt att motsätta sig att uppgifterna görs tillgängliga för andra vårdgivare än den patienten uppsökt. Enligt vår uppfattning bör tillgängliggörandet inte få ske innan denna information lämnats. Det bör uttryckligen framgå i patientdatalagen att detta är

en förutsättning för sammanhållen journalföring. Hur denna information skall lämnas kan inte anges generellt. Det säger sig självt att information inte skall behöva lämnas vid varje kontakttillfälle med en patient eller varje gång nya uppgifter registreras i ett elektroniskt informationssystem för vårddokumentation. Vi förutsätter att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring.

Vi föreslår vidare att patientens rätt att begära att uppgifter i den sammanhållna journalen spärras inte skall vara tidsbegränsad. När som helst bör patienten kunna begära spärrning av uppgifter hos den vårdgivare till vilken vårddokumentationen hör, låt vara att annan vårdgivare redan kan ha tagit del av uppgifterna. Det behöver, enligt vår uppfattning, dock inte innebära någon nämnvärd olägenhet för patienten. Fördelen med den sammanhållna journalföringen är ju att vårdgivarna normalt inte skall behöva ladda ned och lagra omfattande kopior av andra vårdgivares journalhandlingar för att bifoga dem till den egna journalföringen. Spärras uppgifterna först i efterhand av en vårdgivare, skall de alltså normalt inte finnas tillgängliga via en annan vårdgivare.

11.3.4. Skede 2 – Patientens möjlighet att ta ställning till om direktåtkomsten skall få användas

Med förslaget i det föregående kommer det i praktiken att bli en presumtion för att uppgifterna får göras tillgängliga för andra vårdgivare som är anslutna till en gemensam patientdatabas eller annat informationssystem. För att fungera på ett för den enskilde tydligt sätt kommer det som nyss sagts krävas att patienten informeras om att han eller hon faktiskt har ett val. Fullständig säkerhet om att informationen alltid når fram och förstås av alla patienter är ändå svår att uppnå. Man kan också befara att det ofta är ett svårt ställningstagande för patienter; något som kan inbjuda till ett passivt val. Även för den som vill göra ett aktivt val och fullt ut förstår vad det handlar om, kan det vara svårt att i förlängningen förutse och mot varandra väga konsekvenserna i en oviss framtid av det ena eller andra ställningstagandet. Patienten kan vidare känna sig i ett underläge i förhållande till läkaren och därför ha svårt att uttrycka sin vilja i frågan.

Mot bakgrund av de förhållanden som påtalats i det föregående anser vi att patientens opt out-möjligheter beträffande vårddoku-

mentationens tillgängliggörande för andra vårdgivare, inte räcker för att ge patienten ett tillförlitligt integritetsskydd vid sammanhållen patientjournalföring.

Det främsta skälet till att möjliggöra sammanhållen journalföring är den stora nyttopotential för den enskilde patienten som en sådan journal innebär. Det är därför angeläget att patienter inte ”för säkerhets skull” motsätter sig att uppgifter görs tillgängliga i det sammanhållna journalföringssystemet. Ett sådant beteende motverkas, tror vi, om den enskilde patienten får ett inflytande även i det senare skedet, skede 2, då någon extern vårdgivare tar del av uppgifterna.

Därför föreslår vi att patienten också får en rätt att bestämma om en vårdgivares hälso- och sjukvårdspersonal skall få ta del av annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen. Det beslutet bör tas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare eller då behovet annars i det konkreta fallet uppstår. Rimligen är det i denna konkreta situation normalt ganska oproblematiskt för patienten att ta ställning i frågan, i vart fall i jämförelse med ett beslut huruvida information skall spärras eller inte.

En opt out-modell i skede 2 kan, befarar vi, vålla stor osäkerhet både bland patienter och personal angående vad som kan eller inte kan presumeras om vad patienten går med på. I denna situation förespråkar vi ett krav på aktivt samtycke från patienten, dvs. att det skall inhämtas ett samtycke till att direktåtkomsten till annan vårdgivares vårddokumentation används. Något formellt krav på att samtycket skall vara uttryckligt eller att det skall dokumenteras bör dock inte uppställas.

Samtycket bör, som framgått av det nyss sagda, inhämtas först i skede 2, dvs. då den konkreta situation uppstått att den enskilde kommit som patient till en annan vårdgivare än den vars vårddokumentation behövs. Under förutsättning att personuppgiftslagens krav på att ett samtycke skall vara särskilt och otvetydigt uppfylls, menar vi emellertid att det finns utrymme att i vissa fall lämna ett samtycke i förväg. Redan i skede 1 – dvs. då patienten är hos den första vårdgivaren som dokumenterat uppgifterna – kan med andra ord patienten inte bara låta bli att kräva en spärr, utan också lämna samtycke i förväg till att en viss eller vissa kommande vårdgivare får använda direktåtkomsten vid en planerad och konkret vårdsituation. Detta bör t.ex. kunna komma i fråga avseende patienter som skrivs ut från sluten vård vid ett landstingssjukhus till fortsatt vård vid en vårdcentral i privat regi. Ett annat exempel är då patienten befinner

sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett remissförfarande. Om samtycke i dessa fall inte kan lämnas i förväg, får personalen hos dessa senare vårdgivare inte rimliga möjligheter att förbereda sina vårdinsatser på ett relevant sätt; något som inte är till gagn för patienten. Det i förväg lämnade samtycket kan i dessa fall lämpligen dokumenteras av den första vårdgivaren på remissen, utskrivningsmeddelandet eller motsvarande. Att patienten i skede 1 lämnar samtycke i fråga om situationer som varken är konkretiserade till viss vårdgivare eller viss situation kan dock inte tillåtas; sådana generella samtycken uppfyller inte personuppgiftslagens krav på giltighet.

Som nyss sagts föreslår vi inget undantag från förbudet för vårdgivare att bereda sig tillgång till information som spärrats av en annan vårdgivare; genom spärren förutsätts en sådan forcering inte heller vara teknisk möjlig. När det däremot gäller ospärrad information föreslår vi att det uttryckligen skall anges att informationen skall få inhämtas då den behövs för den vård eller behandling som patienten oundgängligen behöver, t.ex. i ett akut fall där det inte är rimligt att lägga tid på att fråga patienten om samtycke eller det inte är möjligt att utröna patientens inställning. Vi menar att detta är en rimlig lösning, eftersom patientens underlåtenhet att begära spärrning av vårddokumentation antyder en önskan om att dokumentationen skall kunna vara tillgänglig vid ett akut insjuknande eller liknande.

I detta sammanhang bör påpekas att vi inte föreslår särregler för vuxna patienter som tillfälligt eller varaktigt brister i beslutsförmåga. Hur dessa skall hanteras i hälso- och sjukvården har nyligen utretts av Utredningen om förmyndare, gode män och förvaltare. Den utredningen har bl.a. föreslagit en ny lag om ställföreträdare för vuxna med bristande beslutsförmåga inom hälso- och sjukvården samt vissa ändringar i sekretesslagen och personuppgiftslagen (SOU 2004:112). Utredningens förslag bereds för närvarande i Regeringskansliet. Enligt vår uppfattning bör de nämnda förslagen ligga till grund för hur denna patientgrupp skall hanteras i det avseende som här är i fråga.

Inte heller föreslår vi några särskilda bestämmelser när det gäller barn och tonåringar. Dessa menar vi bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården när det gäller t.ex. vems samtycke till en konkret åtgärd som är centralt; vårdnadshavarens eller den underåriges?

Ett problem är emellertid om en journal innehåller uppgifter om annan enskild än patienten. Sådana uppgifter om tredje man skall normalt undvikas men måste ändå kunna förekomma när det är be-

fogat. Oftast rör det sig om helt harmlösa uppgifter såsom t.ex. kontaktuppgifter, men inte alltid. Vi föreslår dock inte någon särregel för detta fall.

11.3.5. Ytterligare förutsättningar

I registerlagstiftning förekommer ibland att lagstiftaren på något sätt begränsar vilken information ett register eller en databas får innehålla eller vilka kategorier av personuppgifter som får eller inte får behandlas samt vilken information direktåtkomst får avse.

Vi har övervägt om det vore lämpligt att skapa särregler som undantar viss slags information från tillgänglighet i sammanhållen journalföring. En sådan begränsning skulle naturligen avse information som enligt en allmänt utbredd uppfattning i samhället är av mer integritetskänslig art än annan information, exempelvis journaluppgifter rörande psykiska eller veneriska sjukdomar, sexuella övergrepp, missbruk etc. Ett snarlikt alternativ är att undanta uppgifter från vissa speciellt känsliga verksamhetsområden såsom psykoterapi eller särskilda mottagningar för våldtagna kvinnor för att ta några exempel.

Flera problem skulle emellertid vara förknippade med sådana begränsningar. Ett problem är svårigheterna att objektivt och generellt beskriva vilken slags information som är mer känslig än annan. Vi tror att det i det närmaste är en omöjlig uppgift, bl.a. eftersom en mängd faktorer av mycket individuell karaktär inverkar på vilken information som i en given stund är av särskilt integritetskänslig art och därför inte bör få göras tillgänglig för andra vårdgivare i ett sammanhållet journalföringssystem. Enligt vår uppfattning är det redan av den anledningen olämpligt att i lag närmare precisera viss slags information som förbjuden att göra tillgänglig i en sammanhållen journalföring. Ett sådant absolut förbud kan vidare gå stick i stäv med patienters egna önskemål och den patientnytta som sammanhållen journalföring innebär. Ett ytterligare problem är att det som eventuellt skulle kunna gå att fastställa som särskilt känslig information kan dyka upp lite varstans i hälso- och sjukvården och i sammanhang som inte går att förutse på ett heltäckande sätt. Det ter sig därför inte lämpligt att undanta vissa verksamhetsområden inom hälso- och sjukvården från sammanhållen journalföring. Sammantaget har vi därför funnit att övervägande skäl talar för att inte undanta viss information eller vissa områden inom hälso- och sjukvården från möjligheten till sammanhållen journalföring.

Patientens möjligheter att spärra vårddokumentation samt att kunna motsätta sig att personal bereder sig tillgång till uppgifter som dokumenterats hos en annan vårdgivare, räcker dock inte, enligt vår uppfattning, för att tillförsäkra hälso- och sjukvårdens integritetsskydd ett bibehållet förtroende hos allmänheten vid sammanhållen patientjournalföring. Vi föreslår därför en bestämmelse som uttryckligen föreskriver att en vårdgivare bara får ta del av uppgifter som upprättats eller införts i den sammanhållna journalföringen av annan vårdgivare under förutsättning att vårdgivaren har en aktuell patientrelation med den enskilde patienten i fråga. Bestämmelsen är inte en regel om s.k. inre sekretess utan anger under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst till annan vårdgivares information som vårdgivaren medgetts genom den sammanhållna journalföringen. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares information till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Därutöver klargörs bl.a. att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.

Normalt torde det inte uppstå tveksamheter om en aktuell patientrelation föreligger eller inte. Huruvida en patientrelation över huvud taget föreligger eller har förelegat med en enskild person torde vara enkelt att konstatera. I flertalet fall torde det även falla sig naturligt att avgöra när en patientrelation är aktuell eller pågående och när man skall betrakta den som avslutad. En patientrelation bör t.ex. anses som avslutad då en intagen sjukhuspatient skrivs ut såsom färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi. Tveksamheter kan förstås uppstå. Man kan exempelvis fråga sig om en husläkare, och därmed den vårdgivare husläkaren hör till, har en ständigt aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Så bör normalt inte bedömas vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker sin husläkare kan en annan bedömning göras. Att i lag närmare definiera den exakta gränsen på sätt som helt täcker hälso- och sjukvårdens mångfacetterade verksamhet är inte möjligt. I den mån gränsdragningsproblem mot förmodan uppstår i den praktiska verksamheten

får det i stället överlåtas åt rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.

Vidare bör det krävas att befattningshavaren i skede 2 gör en bedömning av om uppgifter som han eller hon tänker bereda sig tillgång till kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett lågt ställt krav i sammanhanget men kräver ändå ett ställningstagande. En ortoped måste alltså göra en bedömning av om det kan antas ha betydelse för ortopedklinikens insatser att få del av vad som antecknats om höftledspatienten vid dennes besök hos en psykiatrisk öppenvårdsmottagning i ett annat landsting fyra år tidigare, för att ta ett exempel på när rekvisitet kanske inte är uppfyllt.

Vi har även diskuterat om det bör införas en tidsgräns för hur länge en vårdgivare får låta vårddokumentation vara tillgänglig utanför den egna verksamheten hos vårdgivaren. Efter den tiden skulle informationen spärras för tillgänglighet på motsvarande sätt som om den enskilde hade begärt det. Det sagda innebär alltså inte att informationen skulle gallras eller annars rensas bort; bara att den inte längre skulle vara tillgänglig för externa vårdgivare. Inom den egna verksamheten skulle tillgängligheten vara fortsatt ”normal”. I många fall, har det sagts oss, är emellertid gamla uppgifter i hög grad relevanta för patientsäkerheten. Det är dessutom just gamla uppgifter som patienter glömmer att berätta om eller inte längre kommer ihåg hos vilken vårdgivare de kan finnas. För patientsäkerheten skulle det därför i vissa fall kunna få negativa följder med en tidsgräns. Vi har därför avstått från att lämna ett sådant förslag.

11.3.6. För vilka syften skall den sammanhållna journalföringen få användas?

Såsom framgått av avsnitt 8.2 används vårddokumentation för många syften som inte har direkt betydelse för den individinriktade patientvården. Exempelvis används uppgifterna för kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjukvården. Det förekommer även att journaler lämnas ut till forskare, för att bara nämna några exempel på olika användningsområden för patientjournaler.

Vi menar att det är av avgörande betydelse för allmänhetens förtroende för nyordningen med sammanhållen journalföring att den gränsöverskridande direktåtkomsten bara används för syften och i

situationer som den enskilde kan förutse och ha kontroll över. Som kommer att framgå av avsnitt 11.5 föreslår vi ett sekretessbrytande undantag i sekretesslagen som gör det möjligt för myndigheter inom hälso- och sjukvården att lämna ut uppgifter genom att göra dem tillgängliga i den sammanhållna journalföringen utan föregående sekretessprövning av den utlämnande myndigheten. Ett sådant undantag bör – med tanke på integritetskänsligheten i vårddokumentationen och den potentiellt sett vida spridning bland hälso- och sjukvårdspersonalen som möjliggörs – inte omfatta annat än en uppgiftsspridning som är till direkt nytta för patienten. Vi föreslår därför att direktåtkomsten vid den sammanhållna journalföringen skall, med ett undantag, bara få användas i vårdsyfte på sätt som föreslagits i det föregående.

Undantaget avser utfärdande av intyg enligt nuvarande 10 § patientjournallagen; en bestämmelse som vi föreslagit skall föras över oförändrad till patientdatalagens reglering av patientjournalföringen, se avsnitt 10.4.3. Fråga är vad som skall gälla i de fall en patient begär intyg om vård som har meddelats av flera vårdgivare som är anslutna till ett sammanhållet journalföringssystem. I dessa fall har ju andra vårdgivares journaluppgifter inte fogats till intygsutfärdarens journal. Däremot kan denne enligt våra förslag under vissa förutsättningar få åtkomst till dessa uppgifter, nämligen om uppgifterna skall användas för ändamålet individinriktad vård och det föreligger en aktuell patientrelation.

Det skulle givetvis underlätta för patienten om denne enbart behövde vända sig till en av de inblandade vårdgivarna för att få ett intyg om den vård han eller hon erhållit. Detta framstår förmodligen också som det mest naturliga för patienten om denne tidigare samtyckt till att hans eller hennes journaluppgifter görs tillgängliga i det sammanhållna journalföringssystemet.

Det har påpekats att en sådan ordning skulle innebära merarbete för intygsutfärdaren. Enligt vår uppfattning förefaller detta dock tveksamt. Den som utfärdar intyget skall i för sig grunda detta även på övriga vårdgivares journalanteckningar. Dessa har emellertid redan varit tillgängliga för denne under vården av patienten och kunnat ligga till grund för bedömningen av åtgärder som vidtagits. Att inte införa en sådan ordning skulle enligt vår uppfattning snarare försvåra utfärdandet av intyg, eftersom intygsutfärdaren i det fall vården har upphört enbart har tillgång till de egna journalhandlingarna beträffande patienten.

Vi menar därför att det skall vara möjligt för en patient som har vårdats av flera vårdgivare som deltar i ett sammanhållet journalföringssystem att vända sig till en av dem för att få ett intyg om den vård som har meddelats. Detta kräver enligt vår bedömning inte någon ändring av patientjournallagens bestämmelse om skyldigheten att utfärda intyg.

Däremot krävs att det blir tillåtet att använda uppgifterna i den sammanhållna journalföringen även för ändamålet utfärdande av intyg. Vidare krävs att en vårdgivare – trots att denne inte har en aktuell patientrelation med patienten i fråga – ges rätt att bereda sig tillgång till uppgifter som införts i den sammanhållna journalföringen av en annan vårdgivare för att på patientens begäran utfärda intyg om vården. Eftersom det är patienten som begär att intyget skall utfärdas, så måste denne därmed anses ha samtyckt till att den som skall utfärda intyget tar del av de journaluppgifter i den sammanhållna journalföringen som är hänförliga till den aktuella vården.

Inskränkningen i fråga om direktåtkomstens användningsområde till vårdsyfte och utfärdande av intyg på begäran av patienten bör vara ovillkorlig. Patienten bör alltså inte kunna samtycka till annan användning av en vårdgivares direktåtkomst till andra vårdgivares vårddokumentation. Förutom att vi anser att detta förbud har betydelse från integritetssynpunkt, menar vi att det också kan ha betydelse för anslutna vårdgivare. I annat fall kan det vara svårt för dessa att förutse i vilka sammanhang deras vårddokumentation kan komma att användas av andra vårdgivare. För en privat vårdgivare kan det t.ex. vara av betydelse för beslutet att ansluta sig till sammanhållen journalföring att veta t.ex. att landstinget inte får lov att inhämta samtycke från patienter till att använda direktåtkomsten för att kontrollera den privata vårdgivarens verksamhet eller att konkurrerande vårdgivare inte på motsvarande sätt kan be patienter om lov att få använda direktåtkomsten på ett sätt som kan skada den utlämnande vårdgivaren. Vi föreslår därför ett uttryckligt förbud mot att ens med patientens samtycke använda direktåtkomsten via sammanhållen journalföring för andra syften än de uttryckligen tillåtna.

Slutligen kan poängteras att bestämmelserna om sammanhållen journalföring bara reglerar ett visst sätt att göra journaler tillgängliga över gränser, elektroniskt och utan föregående sekretessprövning i varje enskilt fall då direktåtkomsten används.

För det fall en vårdgivare vill använda andra vårdgivares uppgifter för t.ex. verksamhetsuppföljning, får uppgifterna begäras ut på samma sätt som i dag, dvs. kontakt får tas med de andra vårdgivarna med en

begäran om att få del av uppgifterna, varefter en sekretessprövning måste göras. I avsnitt 15 och 17 återkommer vi till frågor om sammanhållen journalföring och verksamhetsuppföljning respektive forskning inom hälso- och sjukvårdsområdet.

11.3.7. Sammanfattning och avslutande synpunkter

Sammanfattningsvis föreslår vi således att den enskilde patienten skall ha en rätt att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare i den sammanhållna journalföringen. Utnyttjar patienten sin rätt, skall uppgifterna spärras. Spärrade uppgifter får inte vara tekniskt åtkomliga genom direktåtkomst för andra vårdgivare.

För det fall patienten inte motsätter sig ett tillgängliggörande i den sammanhållna journalföringen föreslås att hans eller hennes samtycke som huvudregel skall vara en förutsättning i det senare skedet, skede 2, då personal hos en vårdgivare behöver ta del av uppgifter som en annan vårdgivare dokumenterat. Undantag från huvudregeln gäller om samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Vidare anges som en förutsättning att endast vårdgivare hos vilken en aktuell patientrelation förekommer får ta del andra vårdgivares vårddokumentation via direktåtkomst samt att uppgifterna skall antas ha betydelse för vården av patienten. Direktåtkomsten får vidare användas för att på patientens begäran utfärda intyg.

Våra förslag skall förstås så att de anger den yttre ramen för det tillåtna när det gäller sammanhållen journalföring. Som framgått av tidigare avsnitt är det upp till vårdgivarna att på frivillig väg samarbeta i individinriktat patientarbete genom sammanhållen journalföring. Inget hindrar givetvis att vårdgivare i sådana samarbeten tillämpar strängare krav på t.ex. samtyckets utformning än vad lagen kräver eller anger en tidsfrist för hur länge uppgifter får vara tillgängliga för andra vårdgivare. Så kan ju vara lämpligt på många områden lika väl som att det kan vara lämpligt att helt utesluta viss särskilt känslig information från sammanhållen journalföring. Enligt vår uppfattning bör det överlåtas till vårdgivarna att inom lagens ramar närmare bestämma över detta.

Vi har i utredningen fört en diskussion om huruvida en spärr skall i en akut nödsituation kunna forceras av en extern vårdgivare. Ett argument som framförts är att många patienter utan denna möjlighet till nödöppning, inte kommer att våga utnyttja sin rätt att begära att

uppgifterna spärras trots att de egentligen vill det. Patientens rätt till självbestämmande och valmöjlighet sägs därigenom bli kringskuren genom ett missriktat integritetsskydd.

Vi menar dock att det är av fundamental betydelse att gå försiktigt fram vid införande av ny lagstiftning om öppnade möjligheter till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne skall vara för hälso- och sjukvårdspersonal inom landet. Innebörden av självbestämmanderätten är ju bl.a. att också beslut som för en utomstående ter sig mindre rationella respekteras.

Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter. Inte heller kan vi nu veta något om anledningen till att patienter inte spärrar uppgifter. Den nyordning som vi föreslår får naturligen utvärderas i sinom tid.

Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhetssynpunkt vid akutsjukvård, kan det finnas skäl att överväga lagändring som gör undantag från den ordning som vi föreslagit. Vi vill dock i detta sammanhang särskilt påpeka att förslaget om absoluta spärrar inte på något sätt innebär några försämrade möjligheter för hälso- och sjukvården att få tillgång till information än vad man i dag har. Ordinära kanaler via telefonsamtal, telefax, e-post m.m. kan givetvis fortfarande användas för att efterforska information som sedan kan lämnas ut, dock inte utan att en sekretessprövning görs av utlämnaren.

Skäl att göra ett undantag från de absoluta spärrarna skulle också kunna övervägas om en framtida utvärdering visar att situationen snarare är den omvända. Patienter som egentligen vill spärra känner sig tvingade att låta bli av rädsla för att viktig information då inte skall finnas elektroniskt tillgänglig vid en eventuell kommande livshotande akutsituation.

Vi är emellertid inte övertygade om att de farhågor som kommit till tals är befogade. Exempelvis bör det krav på samtycke m.m. som vi föreslår skall gälla i skede 2 kunna tillfredsställa flertalet av de patienter som vill att ospärrade uppgifter om dem bara skall få användas i nödsituationer. I sammanhanget kan också påpekas att våra förslag om krav på absoluta spärrmöjligheter inte på något sätt hindrar vårdgivare från att bygga system med mer finmaskiga spärrar än de

vi föreslagit skall gälla som rättsligt krav. Exempelvis kan vårdgivare inom ramen för våra förslag bygga system där patienter kan välja mellan olika grader av spärrar, t.ex. att spärra information för alla andra vårdinrättningar än landets akutmottagningar eller liknande. Vi har dock avstått från att införa sådana graderade möjligheter som ett rättsligt krav på vårdgivarna.

I avsnitt 12 kommer vi att föreslå en del ytterligare åtgärder som kommer att få betydelse även vid sammanhållen journalföring, t.ex. att användning av direktåtkomsten skall loggas och kunna spåras av den patient som oroar sig för missbruk.

Under alla förhållanden menar vi att det inte går att dra några slutsatser om i vilken mån och varför patienter kommer att göra det ena eller andra valet och vilken betydelse det kommer att få för en god och säker vård. Vi menar därför att våra förslag på nuvarande stadium är en rimlig avvägning mellan patientnyttan och integritetsriskerna med sammanhållen journalföring.

11.4. Tryckfrihetsförordningen och sammanhållen journalföring

Vår bedömning: Tryckfrihetsförordningen hindrar inte att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.

Patientjournaler och annan vårddokumentation inom den allmänna hälso- och sjukvården omfattas av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar, något som ofta anförts som ett hinder för gränsöverskridande IT-lösningar inom hälso- och sjukvården. Under vårt arbete har vi stött på önskemål om att patientjournaler skall undantas från offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. Exempelvis har Socialstyrelsen och Sveriges Kommuner och Landsting genom bl.a. InfoVU-projektet uttryckt sådana önskemål. Synpunkter om att vi måste överväga ett sådant undantag har bl.a. framförts av IT-politiska strategigruppens tidigare arbetsgrupp för IT i vård och omsorg och av Carelink (se om dessa aktörer i avsnitt 3).

Vi har inte fått i uppdrag att utreda och överväga grundlagsändringar. Något mandat att lämna förslag om att patientjournaler skall undantas från handlingsoffentligheten har vi alltså inte. Med tanke på våra förslag om sammanhållen journalföring i för flera vårdgivare gemensamma databaser eller andra elektroniska informationssystem,

finns det emellertid behov av att diskutera i vad mån bestämmelserna om allmänna handlingar i 2 kap. tryckfrihetsförordningen innebär hinder eller problem i sammanhanget.

11.4.1. Gällande rätt

I den allmänna hälso- och sjukvården omfattas, som nyss sagts, journalhandlingar och annan vårddokumentation av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar.

Enligt 2 kap. 3 § första stycket tryckfrihetsförordningen förstås med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän, om den för det första förvaras hos en myndighet och för det andra enligt bestämmelserna i 2 kap. 6 § eller 7 §tryckfrihetsförordningen anses som inkommen till eller upprättad hos en myndighet. Detsamma gäller om vården bedrivs av kommunala företag enligt de förutsättningar som anges i 1 kap. 9 § sekretesslagen. När det i det följande talas om myndighet inkluderas även sådana företag.

Beträffande upptagningar, t.ex. elektroniskt lagrade uppgifter, gäller som huvudregel att förvaringskriteriet är uppfyllt när uppta