SOU 2006:82
Patientdatalag
Till statsrådet med ansvar för hälso- och sjukvårdsfrågor
Regeringen beslutade den 3 april 2003 att tillkalla en särskild utredare med uppdrag att utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården (dir. 2003:42). Utredaren skall enligt direktiven även överväga om särskild författningsreglering behövs för de regionala cancerregistren och för donations- och metadonregistren, samt för blodgivarregistret och vaccinationsregistret, som båda är under uppbyggnad. Om utredaren anser att en särskild författningsreglering är nödvändig, skall han utarbeta ett förslag till en sådan.
Till särskild utredare förordnades lagmannen Sigurd Heuman. Övriga medverkande i utredningens arbete anges nedan.
Utredningen antog inledningsvis namnet Kvalitetsregisterutredningen men har sedan, till följd av den slutliga utformningen av utredningens uppdrag, ändrat namnet till Patientdatautredningen (S 2003:03).
Den 23 juni 2004 beslutade regeringen om tilläggsdirektiv till utredningen (dir. 2004:95). Enligt tilläggsdirektivet skall den särskilde utredaren se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området. I uppdraget ingår att analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal. Utredaren skall också utreda frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifter i kvalitetsregister och vid behov lämna förslag till bestämmelser om detta. I utredarens uppdrag ingår också att se över frågan om Läkemedelsverket skall få föra ett register för uppföljning av läkemedels ändamålsenlighet. Utredaren skall överväga hur ett sådant register skall regleras. Utredaren har vidare fått i uppdrag att göra en generell översyn av lagen (1996:1156) om receptregister och anpassa den till övrig lagstiftning inom området. Slutligen skall utredaren
göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister, sekretesslagen (1980:100) och andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget, t.ex. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område samt lämna förslag till nödvändiga ändringar i även dessa författningar.
Den 20 december 2005 beslutade regeringen om ytterligare tilläggsdirektiv (dir. 2005:150). Enligt dessa tilläggsdirektiv skall den särskilde utredaren utarbeta förslag till författningsreglering av det nationella register för vaccinationer som i dag förs i projektform av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen. I dessa tilläggsdirektiv fastställdes även att utredningen senast den 1 oktober 2006 skall redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med anledning av dessa uppgifter. Utredningen skall redovisa resultatet av sitt arbete i övriga delar senast den 31 december 2006.
Utredningen får härmed överlämna sitt huvudbetänkande Patientdatalag (SOU 2006:82).
Till betänkandet fogas särskilda yttranden. Arbetet i utredningen fortsätter nu med återstående frågor.
Malmö i september 2006
Sigurd Heuman
/Tomas Forenius
Ingegärd Lind Anna Tansjö
Förteckning över vilka som har deltagit i denna del av utredningens arbete
(Om inte annat anges, har förordnandet gällt fr.o.m. den 12 maj 2003)
Experter
Docenten Jan Adolfsson, t.o.m. den 23 juni 2004 Professorn Anders Ekbom, fr.o.m. den 24 juni 2004 Rådmannen Ulrika Geijer, fr.o.m. den 27 mars 2006 Överläkaren Harald Heijbel, t.o.m. den 23 juni 2004 Rådmannen Lars Henriksson, t.o.m. den 26 mars 2006 Datarådet Katja Isberg Amnäs Styrelseordföranden Gösta Jedberger, fr.o.m. den 24 juni 2004 Avdelningsdirektören Pia-Maria Jonsson, t.o.m. den 31 mars 2004 Sekreteraren Gabriella Kollander Fållby, fr.o.m. den 24 juni 2004 Juristen Ulla Lönnqvist Endre Chefsjuristen Eva Nilsson, fr.o.m. den 24 juni 2004 Enhetschefen Petra Otterblad Olausson, fr.o.m. den 24 juni 2004 Professorn Elisabeth Rynning, fr.o.m. den 24 juni 2004 Biträdande landstingsdirektören Göran Stiernstedt, fr.o.m. den 27 mars 2006 Rådmannen Anna Tansjö, fr.o.m. den 1 juni 2006 Professorn Lars Wallentin
Sakkunniga
Departementssekreteraren Ulrika Axelsson Jonsson, fr.o.m. den 12 maj 2003 t.o.m. den 31 mars 2004 samt fr.o.m. den 25 maj 2005 Departementsrådet Anders Ekholm, fr.o.m. den 10 oktober 2005 Departementssekreteraren Daniel Forslund, fr.o.m. den 1 mars 2005 Rådmannen Petter Granqvist, fr.o.m. den 24 juni 2004 t.o.m. den 24 maj 2005 Rättssakkunnige Erik Hjulström, fr.o.m. den 25 maj 2005 Ämnesrådet Stefan Karlsson, t.o.m. den 30 juni 2006 Kanslirådet Eva Lenberg, fr.o.m. den 10 oktober 2005 Departementssekreteraren Anne Nilsson, fr.o.m. den 25 oktober 2004 t.o.m. den 24 maj 2005 Ämnessakkunniga Helena Rosén, fr.o.m. den 1 juli 2006
Departementssekreteraren Petra Zetterberg Ferngren, fr.o.m. den 24 juni 2004 t.o.m. den 24 oktober 2004 Chefsjuristen Sören Öman, fr.o.m. den 24 juni 2004
Sekreterare
Kanslirådet Tomas Forenius. fr.o.m. den 26 april 2006 Hovrättsassessorn Ingegärd Lind, fr.o.m. den 6 april 2004 Rådmannen Anna Tansjö, fr.o.m. den 1 maj 2003 t.o.m. den 11 juli 2006
Sammanfattning
Inledning
Våra förslag innefattar en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag, patientdatalagen. Den föreslagna regleringen innebär att patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) ersätts av den nya lagen. I denna lag, som gäller för alla vårdgivare oavsett huvudmannaskap, regleras bl.a. sådana frågor som skyldigheten att föra patientjournal, inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar genom direktåtkomst eller på annat elektroniskt sätt samt nationella och regionala kvalitetsregister. Härutöver föreslår vi ändringar i bl.a. sekretesslagstiftningen på hälso- och sjukvårdens område.
Författningsförslagen har delvis karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Den närmare regleringen i vissa generella frågor skall således kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. Förslagen kan ses som en del av den process som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Den centrala utgångspunkten för förslagen är att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter att man inte överger principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet. I förlängningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.
Förslaget till patientdatalag
Lagens tillämpningsområde, m.m.
Patientdatalagen gäller i vårdgivares kärnverksamhet
Patientdatalagen skall tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.
All automatiserad behandling och viss manuell behandling av personuppgifter omfattas
Tillämpningsområdet för patiendatalagen omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvården. Vissa särbestämmelser finns dock beträffande nationella och regionala kvalitetsregister, se nedan. Patientdatalagen kompletterar personuppgiftslagen (1998:204), vilket innebär att när reglering saknas i patientdatalagen kommer personuppgiftslagens bestämmelser att vara tillämpliga. Vissa bestämmelser i lagen, bl.a. sådana som rör dokumentation m.m. i patientjournaler, gäller även om behandlingen sker helt manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.
Personuppgiftslagens regler gäller när verksamhet inte omfattas av patientdatalagen
Personuppgiftsbehandling i verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patient-
nämnder eller läkemedelskommittéer. Även hos en vårdgivare som omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som faller utanför lagens tillämpningsområde. Så är exempelvis fallet i den rent administrativa verksamheten som saknar direkt koppling till patientverksamheten. Sådan särskild personuppgiftsbehandling som sker uteslutande för forskningsändamål eller utbildningsändamål faller också utanför patientdatalagens tillämpningsområde.
Ändamål för personuppgiftsbehandlingen, m.m.
Ändamål
De ändamål för vilka personuppgifter enligt den föreslagna lagen får samlas in och även i övrigt behandlas inom hälso- och sjukvården är:
1. patientjournalföring och annan dokumentation som behövs i
och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation),
2. utförande av annan dokumentation som följer av lag, förord-
ning eller annan författning,
3. systematisk och fortlöpande utveckling och säkring av hälso-
och sjukvårdens kvalitet (Kvalitetssäkring),
4. administration, planering, uppföljning, utvärdering och tillsyn
av hälso- och sjukvårdsverksamheten och
5. framställning av statistik rörande hälso- och sjukvård
Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–5 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen. Det innebär att personuppgifter som redan finns i hälso- och sjukvårdsverksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.
Samkörning
Några särskilda bestämmelser om samkörning föreslås inte. Samkörning är alltså tillåten förutsatt bl.a. att den faller inom ramen för något eller några av de ändamål som anges i patientdatalagen.
Personuppgiftsansvar
I patientdatalagen anges att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. I lagen finns också vissa särskilda bestämmelser om personuppgiftsansvar vid sammanhållen journalföring och vid registerföring i nationella och regionala kvalitetsregister.
Personuppgifter som får behandlas
Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs får behandlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även i privata vårdgivares verksamhet. I övrigt föreslås inga särbestämmelser om sådana personuppgiftskategorier som särregleras i personuppgiftslagen.
Den enskildes inställning till personuppgiftsbehandlingen
I patientdatalagen föreskrivs att personuppgiftsbehandling enligt lagen får ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Några sådana undantag följer av patientdatalagen. Dessa undantag avser situationer, förenklat uttryckt, då den enskilde ges möjlighet att förhindra att uppgifter om honom eller henne sprids inom hälso- och sjukvården. Vidare klargörs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning.
Begränsningar för sökbegrepp
Känsliga personuppgifter som avses i 13 § personuppgiftslagen samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får enligt patientdatalagen inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.
Undantag från förbuden gäller dock i fråga om uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Sådana uppgifter får alltså användas som sökbegrepp, om det behövs för något tillåtet ändamål. Vidare kan, om regeringen föreskriver om det, ett landsting eller en kommun få använda personuppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
En ny reglering av patientjournalföringen
Vi föreslår att åtskilliga bestämmelser i patientjournallagen förs över i huvudsak oförändrade till patientdatalagen. Detta gäller bestämmelserna om krav på journalföring, om vem som är skyldig att föra patientjournal, om skyldigheten att på begäran av patienten utfärda intyg om vården, om rättelse av journaluppgifter, om journalförstöring, om anteckning i journalen när en journalhandling lämnas ut, om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler, om utlämnande av uppgifter ur omhändertagna journalhandlingar, om bevarande av journalhandling och om signeringskrav. Det föreslås dock en bestämmelse som bemyndigar regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från signeringskravet. Även vissa av bestämmelserna i patientjournallagen om vilka uppgifter en patientjournal skall innehålla föreslås föras över till patientdatalagen. Patientjournallagens bestämmelser om att journalhandlingar som upprättas inom hälso- och sjukvården som huvudregel skall vara skrivna på svenska språket förs över till patientdatalagen.
Vi föreslår vidare att det i patientdatalagen införs en bestämmelse om hur mycket information som en patientjournal får innehålla. Bestämmelsen motsvarar nuvarande reglering i vårdregisterlagen om vad ett vårdregister får innehålla. Vi föreslår också att det skall antecknas i patientjournalen, om en patient anser att en uppgift i journalen är oriktig eller missvisande.
En bestämmelse som delvis motsvarar patientjournallagens bestämmelse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så att patientens integritet respekteras finns också i patientdatalagen. I patientdatalagen har bestämmelsen dock fått ett vidare tillämpningsområde och gäller all utformning av personuppgifter, således inte bara vid journalföring.
En sammanhållen journal?
Vi har bl.a. haft i uppdrag att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patientjournal för varje patient. Enligt vår bedömning saknas i dag, trots den snabba utveckling som äger rum på IT-området, grundläggande förutsättningar att införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Vi bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem. Enligt vår bedömning är det även osäkert om och i så fall när en sammanhållen patientjournal av mera begränsat slag skulle kunna genomföras. I linje med detta föreslås inte att det skall införas någon skyldighet att på något område föra journal över vårdgivargränser.
Vi avvisar också en nyordning som skulle innebära att patienten äger sin journal eller att journalen inte längre skall vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.
Sammanhållen journalföring
Direktåtkomst för vårdgivare – sammanhållen journalföring
Vi föreslår att det i patientdatalagen införs en reglering som innebär att vårdgivare – under vissa förutsättningar – kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgif-
ter som behandlas för ändamål som rör vårddokumentation. Direktåtkomst innebär att uppgifter lämnas ut till en extern mottagare, i detta fall en annan vårdgivare, genom att behörig personal hos den senare vårdgivaren får en möjlighet att på eget initiativ elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Denna reglering gör det möjligt för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp olika slags system för sammanhållen journalföring. Genom den sammanhållna journalföringen ges en tillgänglighet till patientuppgifter som i praktiken låter informationen följa patienterna i olika vårdkedjor och vårdprocesser. Syftet med denna ordning är i första hand att genom utnyttjande av IT öka patientnyttan i form av ökad patientsäkerhet. Patientdatalagen styr däremot inte över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Enligt vår bedömning hindrar inte tryckfrihetsförordningen att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.
Patientens inflytande vid sammanhållen journalföring
Vi utgår från att patienten måste ges ett inflytande när det gäller andra vårdgivares möjlighet att få tillgång till uppgifter om patienten via sammanhållen journalföring. Två utgångspunkter har därvid gällt. Den ena är att inflytandet skall utformas med hänsyn till respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt möjligt skall utformas och genomföras i samråd med patienten. Den andra utgångspunkten har varit att hitta lösningar som är praktiskt smidiga och enkla att tillämpa. De får inte föranleda en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete.
Med dessa utgångspunkter ges patienten redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras (skede 1) en rätt att – efter att ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Om patienten motsätter sig att uppgifterna görs tillgängliga via sammanhållen journalföring, skall uppgifterna spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direktåtkomst får således inte förekomma till spärrade uppgifter. Det sagda utesluter emellertid inte att uppgifter som finns om en patient i
undantagsfall kan lämnas till en annan vårdgivare. Då är det emellertid inte fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sammanhållet journalföringssytem utan att uppgifter lämnas ut på annat sätt, exempelvis muntligen, se förslaget till 7 kap. 1 d § andra stycket sekretesslagen (1980:100). Ett system för sammanhållen journalföring får däremot innehålla information om att det finns spärrade uppgifter. Sådan information kan i enskilda vårdsituationer initiera en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. En spärr kan när som helst hävas på begäran av patienten.
Patienten ges vidare en rätt att själv bestämma om en vårdgivares hälso- och sjukvårdspersonal skall få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen (skede 2). Det handlar här om uppgifter som inte har spärrats av patienten. Normalt kommer patientens inställning i frågan att inhämtas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare.
För att en vårdgivare i skede 2 skall få bereda sig tillgång till ospärrade uppgifter genom sammanhållen journalföring krävs att uppgifterna kan antas ha betydelse för vården av patienten och att patienten samtycker till det. Om patientens samtycke inte kan inhämtas, får uppgifterna tas fram genom direktåtkomst om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Att patientens samtycke inte kan inhämtas kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan om vårdgivaren skall få bereda sig tillgång till uppgifterna. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. En patient som motsätter sig att vårdgivaren använder direktåtkomsten skall alltid respekteras.
Den sammanhållna journalföringen får i princip inte användas för andra syften än den individinriktade patientvården. Det innebär att direktåtkomsten till andra vårdgivares uppgifter inte får användas för exempelvis kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjukvården samt forskning. För allmänhetens förtroende för den nya ordningen med sammanhållen journalföring är det av vikt att den gränsöverskridande direktåtkomsten bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över.
Bestämmelserna om sammanhållen journalföring reglerar sammanfattningsvis bara ett visst sätt att göra patientjournaler elektroniskt tillgängliga över organisatoriska och formella gränser utan föregående
sekretessprövning (se nedan) i varje enskilt fall då direktåtkomsten används. Uppgifterna kan alltid begäras ut på annat sätt, varvid en sedvanlig sekretessprövning måste göras.
Personuppgiftsansvar vid sammanhållen journalföring
Även vid sammanhållen journalföring skall patientdatalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Regeringen får dock meddela föreskrifter om personuppgiftsansvar vid sammanhållen journalföring när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.
Inre sekretess m.m.
Hälso- och sjukvårdspersonalens rätt att ta del av uppgifter om patienter
Den som arbetar hos en vårdgivare får enligt patientdatalagen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. I lagen föreskrivs också att dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga – exempelvis befattningshavare inom hälso- och sjukvården som inte behöver uppgifterna för sitt arbete – inte får tillgång till dem. Med hantering och förvaring avses alla slags åtgärder som vidtas beträffande personuppgifterna.
Krav vid elektronisk patientjournalföring och övrig elektronisk patientdokumentation
När det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation finns i patientdatalagen en bestämmelse om elektronisk åtkomst som delvis motsvarar nuvarande reglering i 8 § vårdregisterlagen men som ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Vårdgivaren skall bestämma vill-
koren för hur personalen skall tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter i vårdgivarens verksamhet. Reglerna innebär att en vårdgivare skall göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Särskild uppmärksamhet skall ägnas åt tillgängligheten till skyddade personuppgifter. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.
Skyldighet att dokumentera elektronisk åtkomst, m.m.
En skyldighet införs också för vårdgivaren att dokumentera och kontrollera elektronisk åtkomst. Genom att vårdgivaren är skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlingshistoriken eller loggen) blir det möjligt att göra kontroller i efterhand. Det räcker emellertid inte att göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppföljningskontroller skall göras systematiskt och fortlöpande. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.
En rätt för patienten att få information om åtkomst
Den enskilde patienten ges rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som skall ges till patienten får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.
En rätt för patienten att spärra tillgänglighet
Den enskilde patienten ges i patientdatalagen en rätt att begära att vårddokumentation spärras för elektronisk åtkomst från andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna
hör. Patienten ges genom denna regel ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet skall ses som ett utflöde av principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Spärren skall med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren skall också kunna forceras, om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Spärrade uppgifter kan i och för sig göras tillgängliga för annan vårdenhet eller vårdprocess på annat sätt än genom elektronisk åtkomst. Om en patient har klargjort att han eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde dock något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna. Information om att det finns spärrade uppgifter om barn kan ge anledning till extra vaksamhet samt övervägande om en anmälan enligt 14 kap. 1 § socialtjänstlagen (2001:453) skall göras till socialnämnden för att barnet skall få erforderligt skydd.
Direktåtkomst för patienten
Genom patientdatalagen får en vårdgivare medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Direktåtkomsten innebär att den enskilde själv elektroniskt kan bereda sig tillgång till informationen. Regleringen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direktåtkomst utan endast en möjlighet till detta. Det är förutsatt att den som begär och medges åtkomst till sina uppgifter också informeras om vart han eller hon kan vända sig för att få hjälp med att tyda dessa. En direktåtkomst behöver inte innebära en tillgång till samtliga uppgifter om den enskilde. Den enskilde får också medges direktåtkomst till dokumentation avseende elektronisk åtkomst till uppgifter om den enskilde (den s.k. behandlingshistoriken eller loggen).
Regeringen, eller den myndighet som regeringen bestämmer, bemyndigas att meddela föreskrifter om de krav på säkerhetsåtgärder
som skall gälla vid direktåtkomst. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela sådana föreskrifter.
Verksamhetsuppföljning
Verksamhetsuppföljning är av central betydelse för hälso- och sjukvårdens utveckling. Med verksamhetsuppföljning åsyftar vi i princip samma sak som avses med ”uppföljning, utvärdering och kvalitetssäkring” i 4 § 2 vårdregisterlagen. Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kostnadseffektivitet, produktivitet etc. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården.
Våra förslag innebär sammantaget ökade möjligheter när det gäller medicinsk, ekonomisk och annan verksamhetsuppföljning inom hälso- och sjukvården jämfört med i dag. Verksamhetsuppföljning är enligt patientdatalagen ett primärt ändamål och olika uppgifter om patienter kan samköras så länge det sker inom de ramar som ges av patientdatalagen och sekretesslagstiftningen. Vidare innebär patientdatalagen att myndigheter som bedriver hälso- och sjukvård i samma landsting får ha direktåtkomst till varandras personuppgifter. Som framgår nedan föreslår vi också att hälso- och sjukvårdssekretessen inte skall hindra att uppgifter lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Även uppföljning av hälso- och sjukvårdens samverkan med kommunernas omsorgsverksamhet underlättas genom regleringen i patientdatalagen jämfört med den nuvarande regleringen i vårdregisterlagen. Vi föreslår också vissa bestämmelser om verksamhetsuppföljning genom nationella och regionala kvalitetsregister, se nedan.
Nationella och regionala kvalitetsregister
Ändamål för behandling av personuppgifter i ett kvalitetsregister
Det är en central uppgift inom hälso- och sjukvården att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Inom hälso- och sjukvården förekommer olika metoder att mäta och utveckla kvaliteten i verksamheten. En metod är att samla och analysera patientbundna data om diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister. Vi har haft i uppdrag att föreslå en författningsreglering av personuppgiftsbehandlingen i nationella kvalitetsregister inom hälso- och sjukvården.
I patientdatalagen finns vissa särbestämmelser som gäller för kvalitetsregister till vilka personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå. I lagen regleras uttömmande för vilka ändamål som personuppgifter i sådana kvalitetsregister får behandlas. Personuppgifter får samlas in och behandlas för det övergripande och primära syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för vissa andra ändamål, nämligen bl.a. framställning av statistik eller forskning inom hälso- och sjukvårdsområdet.
Personuppgifter som får behandlas
I patientdatalagen förtydligas att det bara är sådana uppgifter som behövs för det primära ändamålet kvalitetssäkring av vård som får tas in i ett nationellt eller regionalt kvalitetsregister.
Vidare anges i lagen att den registrerades personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den registrerade.
Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.
I patientdatalagen införs en bestämmelse som – till skillnad från vad som i dag gäller enligt personuppgiftslagen – ger den enskilde en rätt att slippa bli registrerad i ett nationellt eller regionalt kvali-
tetsregister. Denna rätt gäller även efter det att personuppgiftsbehandlingen har påbörjats. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifter om den enskilde som registrerats utplånas ur registret.
Allmänna frågor och bestämmelser
Allmänna bestämmelser om information
Den som är personuppgiftsansvarig enligt patientdatalagen skall se till att den registrerade får information om personuppgiftsbehandlingen. Personuppgiftslagens bestämmeler om information gäller även vid behandling av personuppgifter enligt patientdatalagen. I 25 § personuppgiftslagen anges vilken information som den personuppgiftsansvarige självmant skall lämna till den registrerade. Denna informationsskyldighet preciseras i patientdatalagen.
Informationen skall innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas. Informationen skall även innehålla upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att i vissa fall begära att uppgifter spärras, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 48 § samma lag till skadestånd. Vidare skall informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen skall informationen innehålla upplysningar om huruvida behandlingen är frivillig eller inte.
Information vid sammanhållen journalföring
I det fall en vårdgivare deltar i ett sammanhållet journalföringssystem skall den registrerade även informeras om vad den sammanhållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
Information om personuppgiftsbehandling i nationella och regionala kvalitetsregister
Den enskilde skall informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Denna informationsskyldighet följer av patientdatalagens allmänna bestämmelse om information som skall lämnas den enskilde och av personuppgiftslagen. Därutöver föreslås att den registrerade särskilt skall upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare skall den enskilde informeras om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Dessutom föreslås att den registrerade särskilt skall informeras om till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Informationen skall lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart det kan ske.
Rättelse
Personuppgiftslagens bestämmelser om rättelse gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som sker enligt patientdatalagen. I sistnämnda lag görs en hänvisning till personuppgiftslagens regler om rättelse.
När det gäller rättelse av uppgifter i journalhandlingar har patientdatalagens bestämmelser om rättelse av journaluppgifter företräde.
Skadestånd
Personuppgiftslagens bestämmelser om skadestånd gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförts i strid mot patientdatalagens bestämmelser om personuppgiftsbehandling. I sist-
nämnda lag görs en hänvisning till personuppgiftslagens regler om skadestånd.
Säkerhet
Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter gäller också när personuppgifter behandlas enligt patientdatalagen. Därutöver anges i patientdatalagen vilka säkerhetsåtgärder som i vissa fall skall vidtas. Bestämmelser av sistnämnt slag rör bl.a. tilldelningen av behörighet för elektronisk åtkomst och kontrollen av denna.
Tillsynsmyndigheter
Datainspektionen är tillsynsmyndighet även då personuppgifter behandlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt skall dock alltjämt utövas av Socialstyrelsen.
Ikraftträdande- och övergångsbestämmelser
Patientdatalagen och de ändringar i andra författningar som föreslås skall träda i kraft den 1 januari 2008.
När patientdatalagen träder i kraft skall patientjournallagen och vårdregisterlagen upphöra att gälla.
Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister skall inte börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare skall bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information om sådan personuppgiftsbehandling inte gälla beträffande sådana personuppgifter som behandlats före den 1 januari 2009.
Förslaget till lag om ändring av sekretesslagen
Vi föreslår, som sagts ovan, att det införs en sekretessbrytande bestämmelse som i praktiken undanröjer hälso- och sjukvårdssekretessen mellan olika myndigheter inom hälso- och sjukvården i
samma landsting eller kommun. Syftet med undantaget är att sekretesslagstiftningen inte skall hindra organisationsförändringar inom hälso- och sjukvården. Undantaget gör det möjligt för exempelvis ett landsting att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter och kommer också att öka möjligheterna till verksamhetsuppföljning baserad på patientdata. Undantaget har tagits in i en ny paragraf, 7 kap. 1 d §, i sekretesslagen (1980:100).
Sammanhållen journalföring innebär, som sagts ovan, att myndigheter inom hälso- och sjukvården och privata vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte skall behöva göra någon sekretessprövning i varje enskilt fall, föreslås ett undantag i den nya paragrafen 7 kap. 1 d § sekretesslagen från hälso- och sjukvårdssekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett genom patientdatalagens regler om bl.a. patientens inflytande vid sådan journalföring. Något motsvarande undantag som det i sekretesslagen behövs inte för den enskilda hälso- och sjukvården.
Ett undantag från hälso- och sjukvårdssekretessen föreslås också i 7 kap. 1 d § sekretesslagen som gör det möjligt att lämna uppgifter till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen
Vi har gjort den bedömningen att det av patientsäkerhetsskäl behövs en bestämmelse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild skall kunna få nödvändig vård, omsorg etc. Vi föreslår därför att det införs ett undantag från hälso- och sjukvårdssekretessen som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. En förutsättning för sådant uppgiftslämnande är att den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att
uppgiften lämnas ut. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, skall det ske med urskillning och varsamhet. Den enskildes samtycke skall i första hand utverkas. Undantagsbestämmelsen har tagits in i 7 kap. 1 d § sekretesslagen.
För att möjliggöra kvalitetsregisterförares långtidsuppföjning av vårdkvalitet, föreslås en utvidgning av undantagen från den absoluta statistiksekretessen i 9 kap. 4 § sekretesslagen att omfatta också uppgift om avlidna och som rör dödsorsak eller dödsdatum. Sådana uppgifter föreslås få lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att ett utlämnande kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.
En del ytterligare ändringar av i huvudsak redaktionell art föreslås i sekretesslagen.
Andra ändringsförslag
Våra förslag föranleder en del följdändringar i lagen (2001:499) om omskärelse av pojkar, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och lagen (2005:225) om rättsintyg i anledning av brott.
Summary
Introduction
Our proposals involve the cohesive regulation of the processing of personal data within the health and medical care services in a completely new act, the Patient Data Act. The proposed rules mean that the Patient Records Act (1985:562) and the Health Care Register Act (1998:544) are replaced by the new Act. The new Act, which applies to all care providers, regardless of who is the manager, regulates, among other things, such issues as the obligation to keep patient records, internal secrecy and electronic access within a care provider's operation, the disclosure of data and documents through direct access or by other electronic means, and national and regional quality registers. Moreover, we propose amendments to, among other things, the secrecy legislation within the area of the health and medical care services.
This statutory proposal partially has the character of framework legislation and specifies the fundamental principles to apply for information management regarding data on patients within all health and medical care services. It should be possible to make more detailed regulations on certain general issues through ordinances or, following authorisation by the Government, through public authority regulation. These proposals may be viewed as part of the ongoing process to, with the aid of IT, establish better cooperation between the stakeholders in the health and medical care services and improve patient orientation in the operation. The central point of departure for the proposals is to establish regulation that facilitates both enhanced patient security and strong protection of privacy. A precondition for this is that we do not abandon the principle that health and medical care should be based on respect for the patients' self-determination and privacy. There would otherwise be a risk of citizens losing confidence in the health and medical care services over time.
The proposed Patient Data Act
Scope of the Act, etc.
The Patient Data Act applies to the core operations of care providers
The Patient Data Act will be applied when processing personal data in the care provider's core operation, which means the provision of health and medical care for patients, including dental care. A 'care provider' refers to a government authority, county council and municipality as regards such health and medical care services that the authority, county council or municipality are responsible for and also other legal or natural persons who professionally conduct health and medical care.
All automated processing and certain manual processing of personal data is covered
The scope of the Patient Data Act completely or partially embraces the processing of personal data and the manual processing of personal data that is included in, or is intended to be included in, a structured compilation of personal data that is available for searching or compilation according to special criteria. This regulation is consequently not limited to special computerised registers, databases or other electronic compilations of data within the health and medical care services. However, there are certain special provisions regarding national and regional quality registers; see below. The Patient Data Act supplements the Personal Data Act (1998:204), which means that when the Patient Data Act does not contain any relevant rules, the provision of the Personal Data Act will apply. Certain provisions of the Act, among other things, those relating to documentation etc. contained in patient records, also apply if the processing is conducted entirely manually without the personal data forming part or being intended to form part of any structured compilation of data. In appropriate parts, the Act shall also apply in relevant respects to the processing of data relating to deceased persons.
The rules of the Personal Data Act apply when the operation is not covered by the Patient Data Act
The processing of personal data in operations that fall outside the scope of the Patient Data Act should be regulated in precisely the same way as they currently are by the Personal Data Act. Such operations include, for example, operations conducted by patient boards and pharmaceutical committees. There are care providers within the scope of the Act who also process personal data that falls outside the scope of the Act. For instance, such data may relate to purely administrative operations that are not directly linked to the patient operation. Such special personal data processing that occurs exclusively for the purposes of research or education consequently falls outside the scope of the Patient Data Act
The purpose of the processing of personal data, etc.
Purpose
The purposes for which personal data, according to the proposed Act, may be gathered and also otherwise processed within health and medical care services are:
1. maintenance of patient records and other documentation that
is necessary for the care of patients or that is necessary for administration relating to patients and aims to afford care in a particular case or which otherwise results from care in an individual case (Care documentation),
2. preparation of other documentation, as prescribed by act, ordi-
nance or other legislation,
3. systematic and ongoing development and assurance of the quality
of the health and medical care services (Quality assurance),
4. administration, planning, follow-up, evaluation and supervision
of the health and medical care operations, and
5. preparation of statistics relating to health and medical care.
In addition to this, personal data processed for purposes according to items 1–5 may be processed to satisfy the provision of data required to comply with act or ordinance. Otherwise, the 'principle of finality' contained in Section 9, first paragraph, item d of the Personal Data Act applies. This means that personal data that al-
ready exists in health and medical care service operations may be processed for purposes other than those for which they have been gathered, subject to the precondition that the new purposes are compatible with the previous purposes.
Combined runs
No special provisions on combined runs are proposed. Combined runs are consequently permitted provided, among other things, they fall within the frame of one or more of the purposes stated in the Patient Data Act.
Personal data liability
The Patient Data Act states that a care provider is the personal data controller for the processing of personal data conducted. At the county councils and municipalities, an authority is the personal data controller for the processing of personal data that the authority conducts. The Act also contains certain special provisions on personal data liability in the case of the maintenance of composite records and in the case of the maintenance of registers in the national and regional quality register.
Personal data that may be processed
Only such personal data as is necessary for the purpose for which the processing of personal data is conducted may be processed according to the Patient Data Act. It is made clear in the Act that data about legal offences etc., as referred to in Section 21 of the Personal Data Act, may also be processed in the operations of private care providers. Otherwise, no special provision is proposed regarding such personal data categories as are specially regulated by the Personal Data Act.
The position of the individual on the processing of personal data
It is prescribed in the Patient Data Act that the processing of personal data under the Act may also occur even if the individual opposes the processing of personal data. There may be exemptions to this
main rule according to act or ordinance. The Patient Data Act provides for some such exemptions. Put simply, these exemptions relate to situations where an individual is given an opportunity to impede data about them being disseminated within the health and medical care services. It is also made clear that processing of personal data extending beyond that allowed by the Patient Data Act may also be conducted, provided the individual has explicitly consented to such processing and unless otherwise prescribed by other provisions of the Patient Data Act or by another act or ordinance.
Restrictions on search terms
According to the Patient Data Act, sensitive personal data, as referred to in Section 13 of the Personal Data Act, and personal data on legal offences, etc., as referred to in Section 21 of the same Act, may not be used as search terms. Nor may data about someone having received assistance or other measures within the social services or having been the subject of measures under the Aliens Act (2005:716) be used as search terms.
However, there are exemptions from this prohibition regarding data relating to health or data about someone having been the subject of compulsory intervention under the Compulsory Mental Care Act (1991:1128) or the Act on Forensic Psychiatric Care (1991:1129). Such data may consequently be used as search terms if this is necessary for any permitted purpose. Furthermore, provided the Government makes rules on the matter, a county council or municipality may use personal data on ethnicity and data on someone having received assistance or other initiatives within the social services or been the subject of measures under the Aliens Act as a search term in order to effect certain kinds of compilations.
New regulation of the maintenance of patient records
We propose that the numerous provisions contained in the Patient Records Act are transferred basically unchanged to the Patient Data Act. This applies to provisions regarding: requirements to maintain records; on who is liable to keep patient records; on the obligation to issue a certificate concerning care on the request of the patient; on correction of record information; on the destruction of records;
on notes in records where a record is disclosed and the taking into care of patient records within the private health and medical care services; on the return of records taken into care; on the preservation of records; and signing requirements. However, a provision is proposed authorising the Government, or the authority appointed by the Government, to make regulations on exemptions from the signing requirement. It is also proposed that some of the provisions contained in the Patient Records Act on what information a patient record should contain should be transferred to the Patient Data Act. The provisions of the Patient Records Act, providing for records drawn up within the health and medical care services to be, as a main rule, written in Swedish, are transferred to the Patient Data Act.
We further propose that a provision be introduced to the Patient Data Act regarding what a patient record may contain. This provision corresponds to the current rule contained in the Health Care Register Act about what a health care register may contain. We also propose that if a patient considers information in the record to be incorrect or misleading, that this should be noted in the patient record.
The Patient Data Act also contains a provision corresponding in part with the provision contained in the Patient Records Act about information in patient records drawn up by the health and medical care services being formulated so that the privacy of the patient is respected. However, in the Patient Data Act, the provision has been given a wider scope and applies to all formulation of personal data; that is to say not just in connection with maintaining records.
A composite record?
We have, among other things, been directed to analyse the conditions for and the benefit of all care providers – throughout Sweden or within a county council district – having a composite patient record for each patient. Notwithstanding the rapid development taking place within the IT sector, the fundamental preconditions do not currently prevail in our opinion for the introduction of a composite record for each patient for all care providers. Legislation on an obligation to maintain records in a composite system are therefore not feasible and cannot be recommended. Nor do we consider that it would be appropriate at this moment in time to introduce such a mandatory comprehensive system. In our opinion, it is also
uncertain whether, and in that case when, composite patient records of a more limited kind could possibly be arranged. In line with this, it is not proposed that any obligation should be introduced to maintain records across care provider boundaries in any area.
We also reject a new system that would entail the patient owning their record or that the record should no longer be linked to the care provider in whose operation the maintenance of the records occurs.
Maintenance of composite records
Direct access for care provider – maintaining composite records
We propose that a rule be introduced into the Patient Data Act whereby care providers – subject to certain conditions – may gain direct access to each other's electronic records and other personal data that is processed for purposes relating to care documentation. 'Direct access' means that data is disclosed to an external recipient, in this case another care provider, by authorised personnel at the latter care provider being given the opportunity to, on their own initiative, make arrangements for and gain electronic access to data held by the releasing party. This regulation makes it possible for health care managers and private care providers to develop different kinds of systems for the maintenance of composite records. Through the maintenance of composite records, accessibility is provided to patient data that in practice allows the information to follow the patient in various care chains and care processes. The aim of this system is primarily to, through the use of IT, enhance patient benefit in the form of increased patient security. However, the Patient Data Act does not regulate the kinds of technical solutions or organisational structure chosen for the maintenance of composite records. In our opinion, the Freedom of the Press Act does not impede the authorities of the health and medical care services participating in the maintenance of composite records.
The patient's influence in the maintenance of composite records
Our point of departure is that the patient must be provided with influence regarding the possibility of other care providers gaining access to data through the maintenance of composite records. Two
points of departure have applied in this connection. One was that influence should be formulated taking into consideration respect for the patient's self-determination and privacy and that the care and processing should, as far as possible, be formulated and implemented in consultation with the patient. The other point of departure was to find solutions that are practically flexible and easy to apply. They should not give rise to administrative burdens or other significant additional work in the course of the daily work of the health and medical care services' personnel.
Applying these points of departure, the patient, already at the time of the relevant care regarding which a record is kept or when the data is otherwise documented (Phase 1), is afforded a right – after having been informed about what the maintenance of composite records means – to oppose care documentation relating to them being made available to other care providers. If the patient opposes the data being made available via the maintenance of composite records, access to the data shall be restricted for health and medical care personnel and others at other care providers. Direct access may consequently not be gained to restricted data. However, this does not exclude data about a patient being disclosed to another care provider in exceptional cases. However, this issue does not involve data being made available through direct access in a system for the maintenance of composite records, but that data is disclosed in another way, for example, verbally; see proposal for Chapter 7, Section 1d, second paragraph of the Secrecy Act (1980:100). However, a system for the maintenance of composite records may contain information that there is restricted information. Such information may in individual care situations prompt appropriate dialogue between the patient and the physician or other care personnel. A restriction can be revoked at any time at the patient's request.
The patient is also given the right to personally determine whether a care provider's health and medical care personnel should be permitted to use their access to get data from the care documentation of another care provider that is available in the composite records kept (Phase 2). This involves data that has not been restricted by the patient. Normally the patient's position regarding the matter will be ascertained in conjunction with the patient's initial contact with a new care provider.
In order for a care provider at Phase 2 to be able to be afforded access to unrestricted data through the maintenance of composite records, it is necessary that the data may be assumed to be of signi-
ficance for the care of the patient and that the patient consents to such access. If the patient's consent cannot be obtained, the data may be obtained through direct access if the data may be assumed to be of significance for the care that the patient necessarily needs.
The fact that the patient's consent cannot be obtained may result from the patient being unconscious or in far too serious a condition to adopt a position on whether the care provider should be afforded access to the data. Furthermore, the matter may be so urgent that there is no time to obtain consent. A patient who opposes the care provider using direct access should always be respected.
The maintenance of composite records may in principle not be used for purposes other than for individually oriented patient care. This means, for instance, that direct access to the data of other care providers may not be used for quality assurance and other medical and financial follow-up of health and medical care services and research. To maintain the confidence of the public in the new system for the maintenance of composite records, it is important that crossborder direct access is only used for purposes and in situations that the individual can anticipate and have control over.
In summary, the provisions on the maintenance of composite records only regulate a certain way of making the patient records available electronically across formal organisational boundaries without preceding consideration of secrecy (see below) in each individual case when direct access is used. It can always be requested that the data is released in another way, in which connection the customary consideration of secrecy must be conducted.
Personal data liability regarding the maintenance of composite records
The general rules on personal data liability under the Patient Data Act, providing that every authority within the health and medical care services or private care provider is the personal data controller for the processing of personal data that it conducts, will also apply regarding the maintenance of composite records. However, the Government may make regulations on personal data liability regarding the maintenance of composite records on overall issues concerning technical and organisational security measures.
Internal secrecy, etc.
The right of health and medical care personnel to gain access to patient data
Someone working at a care provider may, according to the Patient Data Act, gain access to documented information about a patient only if they participate in the care of the patient or if they need the information for other reasons for their work within the health and medical care service. This provision comprises both manually and electronically produced patient records and other documentation about patients. The Act also prescribes that documented personal data should be handled and stored so that unauthorised parties – for example, officers within the health and medical care services who do not need the data for their work – are unable to gain access to it. 'Handled' and 'stored' refers to all kinds of measures that are implemented regarding personal data.
Requirements regarding the maintenance of patient records and other electronic patient documentation
As regards the maintenance of electronic patient records and other electronic patient documentation, the Patient Data Act contains a provision on electronic access that partially corresponds to the current rule in Section 8 of the Health Care Register Act, but which imposes clearer requirements on the care provider as regards the authorisation system, etc. The care provider should determine conditions regarding how personnel should be allocated authorisation for electronic access to data about patients within the care provider's operation. These rules mean that the allocation of authorisations by care providers should be conducted on an active and individualised basis following analysis of what further information various categories of personnel and various kinds of operation need. Special attention should be devoted to the accessibility of protected personal data. More detailed provisions should be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.
Obligation to document electronic access, etc.
An obligation is also introduced for the care provider to document and check electronic access. By the care provider being liable to document all electronic access ('processing history' or 'log'), it will be possible to conduct retrospective checks. However, it is not sufficient to conduct follow-up checks in special cases where there may be a suspicion of unauthorised violation. Follow-up checks should be conducted systematically and on an ongoing basis. More detailed provisions should be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.
The patient's right to get information about access
The individual patient is given the right to request to receive information about what direct access and electronic access has occurred regarding electronically processed data concerning them. More detailed provisions on the information to be provided to the patient may be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.
The patient's right to restrict accessibility
The Patient Data Act affords the individual a right to request that the care documentation is restricted for electronic access from other care units, alternatively care processes, outside that to which the data belongs. Through this rule, the patient is provided with influence over access to data concerning them within a care provider's boundaries. This possibility should be regarded to be a result of the principle that health and medical care should be based on respect for the patient's self-determination and privacy and as far as possible should be performed and conducted in consultation with the patient. It should be possible for the restriction to be partially or completely lifted with the patient's consent, for example in a one-off care situation. It should also be possible for the restriction to be overridden if the patient's consent cannot be obtained and provided the infor-
mation may be deemed to be important for the care that the patient necessarily needs. Restricted data can as such be made accessible to another care unit or care process by a different means than electronic access. If a patient has explained that they do not wish the data about them to be disclosed from one care unit to another, it should not be possible for such disclosure of data to occur, except in emergencytype situations. Information about there being restricted data may be available to other care units or care processes, as is information about what care unit or care process restricted the data. Information about restricted data existing regarding a child may give cause to particular caution and deliberation regarding whether a report in accordance with Chapter 14, Section 1 of the Social Services Act (2001:453) should be made to the social welfare committee to ensure that the child gets the necessary protection.
Direct access for the patient
Through the Patient Data Act, a care provider may allow an individual direct access to such data about the individual personally that may be disclosed to them and which is processed for the purpose of care documentation. Direct access means that the individual can be afforded personal access to the information electronically. This rule does not constitute an obligation for a care provider to provide individuals with direct access, but only the opportunity to do so. It is expected that those requesting and those who have been granted access to their data can also be told who they may refer to in order to get help with understanding the data. Direct access does not need to involve access to all of the data about the individual. The individual may also be granted direct access to documentation regarding electronic access to data about the individual ('processing history' or 'log').
The Government, or the authority appointed by the Government, is authorised to make regulations on requirements for security measures that should apply for direct access. A precondition for direct access is that there are sufficiently secure technical solutions to verify the identification of the party requiring the data. It is intended that the National Board of Health and Welfare will issue such regulations, following consultation with the Data Inspection Board.
Operational follow-up
Operational follow-up is a core issue for the development of the health and medical care services. By 'operational follow-up', we basically mean the same thing as 'follow-up, evaluation and quality assurance', referred to in Section 4, Item 2 of the Health Care Register Act. Operational follow-up can be aimed at a multitude of different factors within the health and medical care services, for example, the measurement of the treatment results achieved and patient satisfaction or the measurement of resources applied in the form of expense for each input or other follow-up of cost efficiency, productivity, etc. Follow-up may also be conducted at different levels within the health and medical care services.
Our proposals taken overall involve, compared with today, increased opportunities as regards medical, financial and other operational follow-up within the health and medical care services. Operational follow-up is a primary aim according to the Patient Data Act and different data about patients can be used for combined runs as long as this takes place within the frameworks prescribed by the Patient Data Act and secrecy legislation. Furthermore, the Patient Data Act means that authorities that conduct health and medical care services in the same county council may have direct access to each other's personal data. As indicated below, we also propose that health and medical care secrecy should not impede data being disclosed by an authority within the health and medical care services within a municipality or a county council to another such authority in the same municipal or county council district. The follow-up of health and medical care cooperation with municipal home care operations may also be aided by the rules contained in the Patient Data Act compared with the current rules in the Health Care Register Act. We also propose certain provisions on operational follow-up through national and regional quality registers; see below.
National and regional quality registers
The purpose of the processing of personal data in a quality register
One of the central tasks of the health and medical care services is to systematically and continuously develop and secure the quality of the operation. Different methods exist for measuring and developing operational quality within the health and medical care services. One
method is to gather and analyse patient-related data about diagnosis, measures taken and the results of treatment, etc. in computerised quality registers. We have been assigned to propose a statutory rule on the processing of personal data in national quality registers within the health and medical care services.
Certain special provisions are contained in the Patient Data Act that apply to quality registers into which personal data has been gathered from several care providers and which facilitates comparisons within the health and medical care services at a national or regional level. The Act comprehensively governs the purposes for which personal data contained in such quality registers may be processed. Personal data may be collected and processed for the overall and primary aim of systematic and continuous development and in order to ensure the quality of the care. Personal data gathered may in addition also be processed for certain other purposes, namely, among other things, the production of statistics or research within the field of health and medical care.
Personal data that may be processed
The Patient Data Act clarifies that only such data as is necessary for the primary purpose of quality assurance of care may be entered into a national or regional quality register.
Furthermore, the Act prescribes that the personal identity (ID) number or name of the person registered may only be processed in a national or regional quality register if it is insufficient for quality assurance purposes to process coded personal data or personal data that only indirectly identifies the person registered.
Sensitive personal data, as referred to in Section 13 of the Personal Data Act and which does not relate to health, and also personal data about legal offences, etc., as referred to in Section 21 of the same act, may only be processed if the Government, or the authority appointed by the Government, consents to this in the specific case.
A provision is introduced into the Patient Data Act that – in contrast to the provisions applicable today under the Personal Data Act – provides the individual with the right to avoid being registered in a national or regional quality register. This right even applies after the processing of personal data has commenced. If an individual opposes the processing of personal data after it has been commenced,
the data about the individual that has been registered should be erased from the register.
General issues and provisions
General provisions on information
The party who is the personal data controller, in accordance with the Patient Data Act, must ensure that the person registered receives information about the processing of personal data. The provisions of the Personal Data Act on information also apply regarding the processing of personal data under the Patient Data Act. Section 25 of the Personal Data Act specifies which information the personal data controller can voluntarily disclose to the person registered. This information obligation is defined in the Patient Data Act.
The information should contain details about who the personal data controller is, the purpose of the processing and what categories of data are being processed. The information should also contain an explanation about the information obligation that may ensue according to act or ordinance, the secrecy and security provisions applicable to data and processing, the right to request that the data is restricted in certain cases, the right to receive information about the direct access and electronic access to data that has taken place, the right to gain access to data, according to Section 26 of the Personal Data Act, the right, according to Section 28 of the same act, to have incorrect or misleading data corrected, and the right, under Section 48 of the same act, to damages. Furthermore, such information should contain details about the rules applicable with regard to search terms, direct access and the disclosure of data on media for automatic processing and the provisions applicable regarding storage and erasure. Finally, the information should contain details of whether or not the processing is voluntary.
Information in connection with the maintenance of composite records
In the event that a care provider participates in a system for maintaining composite records, the person registered should also be informed of what the maintenance of composite records involves and that they can oppose their patient data being made available to other care providers through the maintenance of composite records.
Information about the processing of personal data in the national and regional quality registers
The individual should be informed about the processing of personal data in a national or regional quality register. This information obligation derives first from the general provisions of the Patient Data Act on information that must be provided to the individual and second from the Personal Data Act. It is proposed that the person registered should be specially informed about their right to at any time whatsoever have data about themselves erased from the register. Furthermore, the individual should be informed about the extent to which the processing of personal data relates to data collected from sources other than the patient record or the patient themselves, for example data gathered through combined runs with other registers. Furthermore, it is proposed that the person registered should be specially informed about the categories of recipient to whom personal data can be disclosed, for example that data may sometimes be disclosed for research purposes. This information should be provided before the processing of personal data is started or, if this is not possible, as soon as it can be provided.
Rectification
The provisions of the Personal Data Act on rectification apply to the processing of personal data that is completely or partially automated or where the data forms part of, or is intended to form part of, a structured compilation of personal data that is available for searching or compilation according to special criteria and which is conducted according to the Patient Data Act. The latter act refers to the Personal Data Act's rules on rectification.
As regards the rectification of data contained in records, the Patient Data Act's provisions on rectification of record data have priority.
Damages
The provisions of the Personal Data Act on damages apply to the processing of personal data that is completely or partially automated or where the data forms part of, or is intended to form part of, a structured compilation of personal data that is available for searching or compilation according to special criteria and which has been con-
ducted in violation of the Patient Data Act's provisions on the processing of personal data. The latter act refers to the Personal Data Act's rules on damages.
Security
The provisions of the Personal Data Act on security when processing data and the powers of the supervisory authorities also apply when personal data is processed according to the Patient Data Act. In addition, the Patient Data Act states which security measures should be implemented in certain cases. The provisions of the latter kind relate, among other things, to the grant of authorisation for electronic access and the authentication of this authorisation.
Supervisory authorities
The Data Inspection Board is the supervisory authority even when the personal data is processed under the Patient Data Act. However, supervision of compliance with the rules on maintaining records will still be exercised by the National Board of Health and Welfare.
Entry into force and transitional provisions
The Patient Data Act and the proposed amendments to other legislation will enter into force on 1 January 2008.
When the Patient Data Act enters into force, the Patient Records Act and the Health Care Register Act will cease to apply.
The application of the provisions of the Patient Data Act on national and regional quality registers will not start before 1 January 2009 with regard to any quality records that were started to be kept prior to the entry into force of the Patient Data Act. Furthermore, the provisions on the rights of the individual to oppose the processing of personal data in such quality registers and regarding information about such processing of personal data do not apply regarding personal data processed prior to 1 January 2009.
Proposed act amending the Secrecy Act
We propose, as stated above, the introduction of a provision for the breaking of secrecy, which in practice will remove health and medical care secrecy between the different authorities within the health and medical care services in the same county council or municipality. The aim of this exemption is that the secrecy legislation should not impede organisational changes within the health and medical care services. This exemption makes it possible, for instance, for a county council to freely determine the structure it wishes to have without regard to secrecy applying in principle between authorities. It will also enhance the opportunities for operational follow-up based on patient data. This exemption has been included in a new paragraph, Chapter 7, Section 1d of the Secrecy Act (1980:100).
The maintenance of composite records means, as stated above, that the authorities within the health and medical care services and private care providers may under certain preconditions gain direct access to each other's electronic records and other personal data that is processed for purposes relating to care documentation. It is proposed that an exemption from health and medical care secrecy is introduced in the new paragraph, Chapter 7, Section 1d of the Secrecy Act to ensure that care providers who make data available to other care providers when maintaining composite records do not need to review the question of secrecy in every individual case. This exemption means that secrecy does not impede the data being disclosed to an authority within the health and medical care services or to an individual care provider according to the provisions of the Patient Data Act on the maintenance of composite records. The protection of personal privacy in the case of maintenance of composite records is satisfied by the rules of the Patient Data Act on, among other things, the patient's influence in connection with the keeping of such records. No corresponding exemption as that contained in the Secrecy Act is required for private health and medical care services.
An exemption from health and medical care secrecy is also proposed by Chapter 7, Section 1d of the Secrecy Act, which makes it possible to disclose data to a national or regional quality register under the Patient Data Act
We have made the assessment that, for patient security reasons, a provision is required regarding the breaking of secrecy within the area of care and nursing services in order for an individual to be able to get the care, nursing, etc. that is necessary. We therefore propose
the introduction of an exemption from health and medical care secrecy whereby secrecy will not impede data about an individual, that is required so that they will be able to get the necessary care, nursing or treatment or other support, being disclosed by an authority within the health and medical care services to another authority within the health and medical care services or the social services or to a private care provider or a private operation within the area of social services. A precondition for the disclosure of such data is that the individual, owing to their health status or for other reasons, cannot consent to the disclosure of the data. The exemption may not be routinely applied. It should be applied with caution and discretion in every individual case. The individual's consent should be obtained in the first instance. This exemption provision has been included in Chapter 7, Section 1d of the Secrecy Act.
In order to facilitate the long-term follow-up of care quality by the party keeping the quality register, an extension is proposed to the exemption from absolute statistical secrecy, contained in Chapter 9, Section 4 of the Secrecy Act, to also cover data about deceased persons and relating to the cause of death and the date of death. It is proposed that such data may be disclosed for the purpose of quality assurance within the health and medical care services conducted through national or regional quality registers, provided it is clear that disclosure can be effected without the individual or a person closely-related to the individual suffering any harm or inconvenience.
Some further amendments to the Secrecy Act of a basically editorial nature are proposed.
Other proposed amendments
Our proposal gives cause for a number of consequential amendments to the Act relating to the Circumcision of Boys (2001:499), the Biobanks in Medical Care Act (2002:297) and the Forensic Certificates owing to Crime Act (2005:225).
Författningsförslag
1. Förslag till patientdatalag
Härigenom föreskrivs följande.
1 kap. Lagens tillämpningsområde m.m.
Lagens tillämpningsområde
1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Respekt för enskildas integritet
2 § Personuppgifter skall utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.
Dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga inte får tillgång till dem.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven betydelse.
Beteckning Betydelse Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder.
Patientjournal En eller flera journalhandlingar som rör samma patient.
Sammanhållen journalföring En gemensam databas eller ett annat elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
Vård Vård, undersökning och behandling inom hälso- och sjukvården.
Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.
Förhållandet till personuppgiftslagen
4 § Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag.
2 kap. Grundläggande bestämmelser om behandling av
personuppgifter
Kapitlets tillämpningsområde
1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.
Den enskildes inställning till personuppgiftsbehandling
2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.
I 4 kap. 4 §, 6 kap. och 7 kap. 2 § finns bestämmelser om att en personuppgiftsbehandling inte är tillåten om patienten motsätter sig den eller inte samtycker till den.
3 § En behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.
Av 6 kap. 5 § framgår att den enskilde i ett visst fall inte kan samtycka till en behandling av personuppgifter som inte är tillåten enligt denna lag.
Regeringen får föreskriva att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.
Ändamål för personuppgiftsbehandlingen
4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
6. framställning av statistik rörande hälso- och sjukvård. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvalitetsregister.
5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgiftsansvar
6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.
Personuppgifter som får behandlas
7 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas. Även en vårdgivare som inte är myndighet får behandla sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).
Sökbegrepp
8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Regeringen får föreskriva att ett landsting eller en kommun, utan hinder av vad som anges i första stycket, får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
3 kap. Skyldigheten att föra patientjournal
Inledande bestämmelse
1 § Vid vård av patienter skall föras patientjournal. Patientjournal skall föras för varje patient och får inte vara gemensam för flera patienter.
I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring.
Personer som är skyldiga att föra patientjournal
2 § Skyldig att föra patientjournal är
1. den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke,
2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,
3. den som är verksam som kurator i den allmänna hälso- och sjukvården.
Ansvar för uppgifter i patientjournal
3 § Den som för patientjournal svarar för sina uppgifter i journalen.
Patientjournalens innehåll
4 § En patientjournal får endast innehålla de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.
5 § En patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten.
Om uppgifterna föreligger, skall en patientjournal alltid innehålla
1. uppgift om patientens identitet,
2. väsentliga uppgifter om bakgrunden till vården,
3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,
4. väsentliga uppgifter om vidtagna och planerade åtgärder, och
5. uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.
Patientjournalen skall vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.
6 § I lag eller förordning finns, för vissa fall, regler om att en patientjournal skall innehålla ytterligare uppgifter.
7 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall det antecknas i journalen.
8 § Uppgifter som skall antecknas enligt 5–7 §§ skall föras in i journalen så snart det kan ske.
9 § En journalanteckning skall om inte synnerligt hinder möter signeras av den som svarar för uppgiften.
10 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.
11 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva undantag från bestämmelsen i 5 § andra stycket 1 såvitt gäller provtagning för viss sjukdom och från bestämmelsen om signeringskrav i 9 §.
Regeringen, eller den myndighet som regeringen bestämmer, får också meddela ytterligare föreskrifter om en journalhandlings innehåll och utformning.
Språket i patientjournaler
12 § De journalhandlingar som upprättas inom hälso- och sjukvården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten.
Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att en sådan journalhandling får vara skriven på ett annat språk än svenska.
Hantering av journalhandlingar
13 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 3 §.
Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den.
14 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva hur journalhandlingar skall hanteras och förvaras.
Skyldighet att utfärda intyg om vården
15 § Den som enligt 2 § är skyldig att föra patientjournal skall på begäran av patienten utfärda intyg om vården.
Bevarande av journalhandlingar
16 § En journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år.
Om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns det särskilda föreskrifter i 9 kap. 4 §.
I lag finns, för vissa fall, regler om att journalhandlingar skall bevaras under en längre tid än minst tre år.
17 § För journalhandlingar som utgör allmän handling gäller, med de undantag som följer av 16 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.
Patientjournaler i krig m.m.
18 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.
4 kap. Grundläggande bestämmelser om inre sekretess och
elektronisk åtkomst i en vårdgivares verksamhet
Inre sekretess
1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Tilldelning av behörighet för elektronisk åtkomst
2 § En vårdgivare skall bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om tilldelning av behörighet för åtkomst till uppgifter, som förs helt eller delvis automatiserat.
Kontroll av elektronisk åtkomst
3 § En vårdgivare skall genomföra åtgärder som innebär att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare skall genomföra systematiska och återkommande kontroller av om obehörig åtkomst till sådana uppgifter förekommer.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.
Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte
4 § Personuppgifter, som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess, får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall skall uppgiften genast spärras.
Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna.
5 § En spärr enligt 4 § får hävas av en behörig befattningshavare hos vårdgivaren, om
– patienten samtycker till det, eller – patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
5 kap. Grundläggande bestämmelser om utlämnande av
uppgifter och handlingar samt viss uppgiftsskyldighet
Bestämmelser i andra lagar
1 § Om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns bestämmelser i tryckfrihetsförordningen och sekretesslagen (1980:100).
2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser som kan begränsa möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.
Myndighets uppgiftsskyldighet avseende journal upprättad inom enskild hälso- och sjukvård
3 § En myndighet som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.
Utlämnande genom direktåtkomst
4 § Direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av annan sådan myndighet i samma landsting eller kommun. Ytterligare bestämmelser om direktåtkomst finns i denna lag i 5 §, 6 kap. och 7 kap. 9 §.
5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.
Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som skall gälla vid sådan direktåtkomst.
Utlämnande på medium för automatiserad behandling
6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.
6 kap. Sammanhållen journalföring
Direktåtkomst till uppgifter hos en annan vårdgivare
1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.
Patientens inflytande vid sammanhållen journalföring m.m.
2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Uppgift om att det finns spärrade uppgifter får dock göras tillgänglig.
Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, skall patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig den.
Om en patient motsätter sig sammanhållen journalföring, skall uppgifterna genast spärras. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.
3 § För att en vårdgivare skall få bereda sig tillgång till uppgifter som inte är spärrade enligt 2 § tredje stycket krävs att
1. uppgifterna rör en patient som det finns en aktuell patientrelation med,
2. uppgifterna kan antas ha betydelse för vården av patienten, och
3. patienten samtycker till det.
Vårdgivaren får även bereda sig tillgång till sådana uppgifter om
1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,
2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 15 §, och
3. patienten samtycker till det.
4 § En vårdgivare får bereda sig tillgång till en annan vårdgivares uppgifter om en patient, om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Detta gäller endast om uppgifterna inte är spärrade enligt 2 § tredje stycket.
5 § En vårdgivare får inte bereda sig tillgång till uppgifter som är tillgängliga genom sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det.
Personuppgiftsansvar vid sammanhållen journalföring
6 § Regeringen får meddela föreskrifter om vem som skall ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.
Behörighetstilldelning och åtkomstkontroll
7 § Vad som sägs i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.
Bevarande och gallring
8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 16 § att bevara en journalhandling endast den vårdgivare som ansvarar för handlingen.
Om en journalhandling eller annan handling är tillgänglig för en myndighet endast genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra den från sitt arkiv.
7 kap. Nationella och regionala kvalitetsregister
Inledande bestämmelse
1 § Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare och vilka möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
Den enskildes inställning till behandling i kvalitetsregister
2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.
Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifterna utplånas ur registret så snart det kan ske.
Information
3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister skall den som är personuppgiftsansvarig se till att den enskilde, utöver den information som skall lämnas enligt 8 kap. 5 §, får information om
1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,
2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och
3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.
Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, skall den lämnas så snart det kan ske.
Kvalitetsregisters ändamål
4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för
1. framställning av statistik,
2. forskning inom hälso- och sjukvårdsområdet,
3. utlämnande till den som skall använda uppgifterna för ändamål som anges i 4 § eller 1 och 2, och
4. fullgörande av annan uppgiftsskyldighet som följer av lag eller förordning än den enligt 15 kap. 5 § sekretesslagen (1980:100).
6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än dem som anges i 4 och 5 §§.
Personuppgiftsansvar
7 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central organisering, lagring, bearbetning eller annan central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
Regeringen, eller den myndighet som regeringen bestämmer, får medge undantag från första stycket.
I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.
Personuppgifter som får behandlas
8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.
En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personupp-
gifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.
Utlämnande genom direktåtkomst
9 § En vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret.
Bevarande och gallring
10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister skall gallras när de inte längre behövs för det ändamål som anges i 4 §.
En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Om regeringen meddelat föreskrifter enligt 7 § andra stycket, får den också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
8 kap. Rättigheter för den enskilde
Rätt att ta del av uppgifter
1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och sekretesslagen (1980:100).
2 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller
kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.
I fråga om överklagande av Socialstyrelsens beslut enligt andra stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).
Förstörande av patientjournal
3 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Socialstyrelsen förordna att journalen helt eller delvis skall förstöras. Förutsättningarna för detta är att
– godtagbara skäl anförs för ansökan, – patientjournalen eller den del därav som ansökan avser uppenbarligen inte behövs för patientens vård, och
– det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen. Innan ansökan slutligt prövas, skall den som ansvarar för en journalhandling som omfattas av ansökan beredas tillfälle att yttra sig.
Om Socialstyrelsen har avslagit en ansökan om förstöring av en patientjournal, får beslutet överklagas hos allmän förvaltningsdomstol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Information
4 § En vårdgivare skall på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om den information som skall ges till patienten.
5 § Den som är personuppgiftsansvarig enligt denna lag skall se till att den registrerade får information om personuppgiftsbehandlingen.
Informationen skall innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som kan följa av lag eller förordning,
5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
7. rätten enligt 4 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,
8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),
9. rätten enligt 28 § personuppgiftslagen till rättelse av oriktiga eller missvisande uppgifter,
10. rätten enligt 48 § personuppgiftslagen till skadestånd vid behandling av personuppgifter i strid mot denna lag,
11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
12. vad som gäller i fråga om bevarande och gallring, samt 13. huruvida personuppgiftsbehandlingen är frivillig eller inte. I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som skall lämnas i vissa fall.
Rättelse
6 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i 3 kap. 13 §.
Skadestånd
7 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).
Andra rättigheter enligt denna lag
8 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 7 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.
9 kap. Omhändertagande och återlämnande av patientjournal
Förutsättningar för omhändertagande
1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt föreskrifterna i denna lag eller enligt föreskrifter som meddelats med stöd av lagen, får Socialstyrelsen besluta att de skall tas om hand.
Socialstyrelsen får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om
– den som ansvarar för hanteringen av journalerna ansöker om det, och
– det finns ett påtagligt behov av att journalerna tas om hand.
Förutsättningar för återlämnande
2 § En omhändertagen patientjournal skall återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.
Ansvaret för omhändertagna journaler
3 § Patientjournaler som omhändertagits enligt 1 § skall förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.
Bevarande av omhändertagna journaler
4 § Omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.
Verkställighet av beslut om omhändertagande
5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.
Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.
Överklagande
6 § Socialstyrelsens beslut i fråga om omhändertagande eller återlämnande av patientjournaler får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister upphör att gälla.
2. Bestämmelserna i 7 kap. skall inte börja tillämpas förrän den 1 januari 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.
3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 januari 2009.
2. Förslag till lag om ändring i sekretesslagen (1980:100)
Härigenom föreskrivs i fråga om sekretesslagen (1980:100)
dels att 7 kap. 1 c, 2, 3 och 6 §§, 9 kap. 4 §, 14 kap. 2 § samt 16 kap. 1 § skall ha följande lydelse,
dels att det i lagen skall införas två nya paragrafer, 7 kap. 1 d och 1 e §§, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap.
1 c §
Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.
Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.
Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.
En landstingskommunal eller kommunal myndighet som bedriver verksamhet som avses i första
En myndighet inom en kommun eller ett landsting som bedriver verksamhet som avses i
stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Vidare får utan hinder av sekretessen uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.
första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.
1 d §
Sekretess enligt 1 c § första stycket hindrar inte att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Sådan sekretess hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (0000:00). Sekretessen hindrar inte heller att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.
Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en
uppgift lämnas ut, hindrar sekretess enligt 1 c § första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.
Sekretess enligt 1 c § första stycket hindrar inte heller att en uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.
1 e §
Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.
2 §
Sekretessen enligt 1 c § gäller inte
Sekretessen enligt 1 c eller 1 e § gäller inte
1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet angår frihetsberövande åtgärd,
2. beslut enligt smittskyddslagen (2004:168), om beslutet angår frihetsberövande åtgärd,
3. beslut i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården,
4. beslut i fråga om omhändertagande eller återlämnande av patientjournal.
Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.
Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c eller 1 e §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.
3 §
Sekretessen enligt 1 c § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
Sekretessen enligt 1 c eller 1 e § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
6 §
Sekretess gäller inom hälso- och sjukvården och annan verksamhet som avses i 1 c § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det
Sekretess gäller inom hälso- och sjukvården och annan verksamhet som avses i 1 c eller 1 e § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållan-
kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.
den, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.
I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.
9 kap.
4 §
Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men.
Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (0000:00).
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.
14 kap.
2 §
Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för
1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,
2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller
3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.
Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.
Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.
Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.
För uppgift som omfattas av sekretess enligt 7 kap. 1 c–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om
1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller
3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),
om inte annat följer av sjätte–åttonde styckena. Sekretess enligt 7 kap. 1 c §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott
1. enligt 3, 4 eller 6 kap. brottsbalken eller
2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,
mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.
Sekretess enligt 7 kap. 1 c §, 1 e §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott
1. enligt 3, 4 eller 6 kap. brottsbalken eller
2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,
mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.
Sekretess enligt 7 kap. 4 § första stycket eller andra stycket första meningen hindrar vidare inte att uppgift, som angår misstanke om
1. överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),
2. överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller
3. icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),
till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.
Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.
Sekretess enligt 7 kap. 1 c § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga
Sekretess enligt 7 kap. 1 c §, 1 e § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller
lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.
flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.
Nuvarande lydelse
16 kap.
1 §
Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
3. denna lag enligt – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
7 kap. 1 c § såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke
Föreslagen lydelse
16 kap.
1 §
Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
3. denna lag enligt – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
7 kap. 1 c eller 1 e § såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke
U
Denna lag träder i kraft den 1 januari 2008.
3. Förslag till lag om ändring i lagen (2001:499) om omskärelse av pojkar
Härigenom föreskrivs i fråga om lagen (2001:499) om omskärelse av pojkar att 2 § skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §
När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientjournallagen (1985:562).
När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientdatalagen (0000:00).
U
Denna lag träder i kraft den 1 januari 2008.
4. Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
dels att 3 kap. 7 § och rubriken närmast före 4 kap. 6 § skall ha följande lydelse,
dels att det i lagen skall införas nya paragrafer, 4 kap. 4 a och 6 a §§, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 kap.
7 §
Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt.
Särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen (1985:562).
Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt i anslutning till biobanken samt i provgivarens patientjournal.
4 kap.
4 a §
En journalhandling inom enskild hälso- och sjukvård som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till utlämnandet av journalhandlingen. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204).
Vägran att lämna ut vävnadsprover
Vägran att lämna ut vävnadsprover m.m.
6 a §
Frågor om utlämnande av en journalhandling enligt 4 a § prövas av den som är ansvarig för patientjournalen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.
Ifråga om överklagande av Socialstyrelsens beslut enligt första stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).
U
Denna lag träder i kraft den 1 januari 2008.
5. Förslag till lag om ändring i lagen (2005:225) om rättsintyg i anledning av brott
Härigenom föreskrivs i fråga om lagen (2005:225) om rättsintyg i anledning av brott att 5 och 7 §§ skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 §
Ett rättsintyg får inte utfärdas utan den enskildes samtycke, om inte annat följer av andra eller tredje stycket.
Ett rättsintyg som avser en målsägande får utfärdas utan samtycke
1. vid misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år eller försök till brott för vilket inte är stadgat lindrigare straff än fängelse i två år,
2. vid misstanke om försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),
3. vid misstanke om brott enligt 3, 4 eller 6 kap. brottsbalken eller brott som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor, mot någon som inte har fyllt arton år, eller
4. om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c § sekretesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.
4. om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.
Ett rättsintyg som avser den som är misstänkt för brott får utfärdas utan samtycke
1. i samband med kroppsbesiktning enligt 28 kap. rättegångsbalken, eller
2. om annan undersökning än kroppsbesiktning har ägt rum och det föreligger misstanke om sådant brott som avses i andra stycket 1–3.
7 §
Från en verksamhet där sekretess gäller enligt 7 kap. 1 c § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att utfärda ett rättsintyg om
Från en verksamhet där sekretess gäller enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att utfärda ett rättsintyg om
1. det begärs av Rättsmedicinalverket, och
2. uppgifterna angår misstanke om sådant brott som avses i 5 § andra stycket 1–3.
Bestämmelser om utlämnande av uppgifter till polismyndighet och åklagarmyndighet i vissa fall finns i 14 kap. 2 § sekretesslagen. ––––––––––––
Denna lag träder i kraft den 1 januari 2008.
BAKGRUND
1. Vårt uppdrag och arbete
1.1. Vårt uppdrag
Enligt våra ursprungliga direktiv (dir. 2003:42) skall vi utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården. Vi skall även överväga om särskild författningsreglering behövs för de regionala cancerregistren, Socialstyrelsens donationsregister och metadonregister samt de planerade vaccinations- och blodgivarregistren.
I vårt arbete stötte vi på flera frågor som gäller gränsdragningen mellan en reglering av nationella kvalitetsregister och övrigt reglering, främst lagen (1998:544) om vårdregister (vårdregisterlagen
)
.
Eftersom det sedan tidigare fanns ett behov av en bredare översyn av personuppgiftsbehandlingen inom hälso- och sjukvården, utvidgades vårt uppdrag genom tilläggsdirektiv (dir. 2004:95).
Genom tilläggsdirektiven fick vi det övergripande uppdraget att se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerade och sammanhängande reglering av området. Regleringen skall omfatta behandlingen av personuppgifter i den medicinska vården, den kvalitetsförbättrande verksamheten, forskningen och den administrativa verksamheten inom hälso- och sjukvården. Vi skall vid utformningen av våra förslag utgå från hur personuppgifter bör hanteras i syfte att öka patientsäkerheten och möjligheterna till patientmedverkan, förbättra såväl den medicinska som den ekonomiska uppföljningen samt minska administrationen samtidigt som hanteringen av personuppgifterna säkras och den personliga integriteten skyddas.
I uppdraget ingår att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare sammanhållen patientjournal för varje patient, på nationell eller regional nivå. Om vi finner att en sammanhållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall vi granska och analysera förutsättningarna
i övrigt för att överföra personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård.
I uppdraget ingår vidare en översyn av bestämmelserna i patientjournallagen (1985:562) och vårdregisterlagen samt ett antal frågor som rör läkemedelsområdet.
Enligt ytterligare tilläggsdirektiv (dir. 2005:150) skall den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhållen patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med anledning av dessa uppgifter redovisas genom delbetänkande.
I vårt slutbetänkande kommer övriga delar av vårt uppdrag att behandlas. Dessa delar innefattar bl.a. frågor om en särskild författningsreglering av de regionala cancerregistren och det nationella vaccinationsregister som i dag förs av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen, en översyn av regleringen av Läkemedelsverkets uppföljning av läkemedels ändamålsenlighet, frågor om landstingens möjligheter att kunna bedriva uppföljning, utvärdering och kvalitetssäkring av läkemedelsförskrivning inom vården samt en generell översyn av lagen (1996:1156) om receptregister.
Direktiven framgår i sin helhet av bilaga 1–3.
1.2. Arbetets bedrivande
Vi hade vårt första sammanträde den 11 juni 2003 och har därefter haft ytterligare 30 sammanträden inom utredningen, inklusive ett tvådagars internatsammanträde.
För att informera oss om den behandling av personuppgifter som pågår i nationella kvalitetsregister inom hälso- och sjukvården och för att inhämta synpunkter i olika avseenden har vi gjort studiebesök vid Uppsala Clinical Research Center (UCR), Nationellt kompetenscentrum för ortopedi (NKO) vid Sahlgrenska sjukhuset i Göteborg, kompetenscentrumet Eyenet Sweden i Karlskrona och regionala onkologiska centrumet vid Karolinska sjukhuset i Stockholm.
Vidare har vi besökt Helsingborgs lasarett, Husläkarna i Österåker, Psykiatrin Nordvästra Skåne, Råcksta Husläkarmottagning, Universitetssjukhuset i Lund, Sophiahemmet och Vårdcentralen Ramlösa för att informera oss om dagens patientjournalföring och för att inhämta synpunkter på bl.a. frågan om en sammanhållen journal. Vi
har även gjort ett studiebesök vid Regionarkivet i Skåne län för att informera oss om arkivfrågor.
Vi har under arbetets gång informerats av företrädare för Carelink, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget i Östergötland, Landstinget i Dalarna, Norrbottens läns landsting och Smittskyddsinstitutet om de utvecklingsprojekt som pågår på området.
Vi har även deltagit i studiebesök vid Department of Health och National Health Service i England, vilka båda arrangerats av Sveriges Kommuner och Landsting.
Vidare har vi deltagit i olika konferenser med anknytning till vårt uppdrag.
För att få en uppfattning om hur frågan om den registrerades samtycke hanteras i samband med registerföringen i nationella kvalitetsregister och om vilken information om registerföringen som lämnas till de registrerade har vi under hösten 2003 genomfört en enkätundersökning bland ett knappt sextiotal registerhållare för nationella kvalitetsregister.
Vidare har vi under hösten 2005 låtit Statistiska centralbyrån genomföra en enkätundersökning. Syftet med undersökningen var att få fram allmänhetens inställning till skapandet av en enda elektronisk journal för varje patient och till andra frågor som rör patientjournaler. En kort sammanfattning av undersökningen återfinns i bilaga 4.
Vi har även anordnat hearingar till vilka företrädare för ett stort antal patient-, anhörig- och pensionärsorganisationer samt yrkesförbund inom hälso- och sjukvården bjudits in.
Under arbetets gång har vi har mottagit skriftliga och muntliga synpunkter från allmänheten rörande vårt uppdrag.
I enlighet med direktiven har samråd ägt rum med InfoVU-projektet, Carelink, Näringslivets Regelnämnd (NNR) och generaldirektören Karin Lindell, som haft i uppdrag att biträda Justitiedepartementet med en analys rörande försäkringsbolags tillgång till patientjournaler (Ju 2004:C). Vidare har under arbetets gång samråd skett med Nationell psykiatrisamordning (S 2003:09) och Utredningen om ett nationellt register över personer som utövar alternativ- eller komplementärmedicin (S 2004:03) samt – på sekretariatsnivå – med Ansvarskommittén (Fi 2003:02). Vi har även haft möten med företrädare för Socialstyrelsen och Sveriges Kommuner och Landsting.
Slutligen har utredningen varit representerad i Referensgruppen till Nationella ledningsgruppen för IT i vård och omsorg.
1.3. Betänkandets disposition
Efter de inledande bakgrundsavsnitten innehåller betänkandet i avsnitt 6 några allmänna utgångspunkter för våra överväganden. I avsnitt 7 och 8 behandlas våra förslag om en ny lag och dess grundläggande bestämmelser om personuppgiftsbehandling. Frågan om det bör införas sammanhållna patientjournaler behandlas i avsnitt 9. I avsnitt 10 redogörs för våra överväganden i fråga en ny reglering av patientjournalföringen. Våra förslag om öppnade möjligheter till sammanhållen journalföring redovisas i avsnitt 11. (En lathund över hur patientuppgifter får göras tillgängliga vid sammanhållen journalföring finns i bilaga 5). I avsnitt 12 och 13 behandlar vi frågor om inre sekretess och om vårdgivare skall kunna medge sina patienter direktåtkomst till deras vårddokumentation. Avsnitt 14–17 behandlar frågor om överföring av personuppgifter i individinriktad verksamhet, om möjligheter till personuppgiftsbehandling för verksamhetsuppföljning, om kvalitetsregister och om patientuppgifter och forskning inom hälso- och sjukvården. I avsnitt 18 tas allmänna frågor och bestämmelser upp. Avsnitt 19 behandlar ikraftträdande- och övergångsbestämmelser. I avsnitt 20 beskrivs konsekvenserna av våra förslag. Avsnitt 21 innehåller en författningskommentar.
2. Hälso- och sjukvård och IT
2.1. Hälso- och sjukvårdens organisation
2.1.1. Ansvaret för hälso- och sjukvården
Hälso- och sjukvården är en central del av välfärden. De grundläggande principerna för den svenska hälso- och sjukvården är att den skall ges på lika villkor och efter behov, styras demokratiskt och vara solidariskt finansierad. I det svenska sjukvårdssystemet är ansvaret för hälso- och sjukvården delat mellan staten, som fastslår målen för hälso- och sjukvården, respektive landstingen och kommunerna, som har verksamhets- och finansieringsansvaret. Det demokratiska inflytandet över hälso- och sjukvården utövas till stor del av kommunala politiska församlingar med beskattningsrätt och självständighet i förhållande till riksdag, regering och statliga myndigheter.
Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken. Under regeringen lyder myndigheter med uppgifter inom hälso- och sjukvården. Den största myndigheten är Socialstyrelsen, som bl.a. svarar för utvecklingsaktiviteter kring vården, utfärdar riktlinjer och föreskrifter samt ansvarar för tillsynen av hälso- och sjukvården och hälso- och sjukvårdspersonalen. Hälso- och sjukvårdens ansvarsnämnd (HSAN) utreder anmälningar mot hälso- och sjukvårdspersonal i samband med vård, undersökning och behandling av patienter. Statens Beredning för Medicinsk Utvärdering (SBU) granskar den vetenskapliga grunden för den medicinska vården. Läkemedelsverket svarar bl.a. för godkännande av läkemedel. Läkeförmånsnämnden beslutar om vilka läkemedel som skall ingå i läkemedelsförmånerna och sätter pris på dessa. Smittskyddsinstitutet bevakar det epidemiologiska läget i landet. Staten ansvarar också för och bedriver hälso- och sjukvård i viss begränsad omfattning med anknytning till annan myndighetsverksamhet, t.ex. inom kriminalvården och försvaret.
Landstingens och kommunernas ansvar för hälso- och sjukvården regleras i hälso- och sjukvårdslagen (1982:763) och tandvårdslagen (1985:125).
I hälso- och sjukvårdslagen finns också grundläggande bestämmelser om mål och krav på hälso- och sjukvården. Dessa bestämmelser gäller all hälso- och sjukvård, dvs. inte bara sådan som bedrivs av landsting och kommuner. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen bl.a. en god hälsa. Vården skall ges med respekt för alla människors lika värde och för den enskilda människans värdighet. Hälso- och sjukvården skall enligt 2 a § hälso- och sjukvårdslagen bedrivas så att den uppfyller kraven på en god vård. Detta innebär bl.a. att vården skall vara av god kvalitet, vara trygg och säker för patienten, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet samt främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen. Vården och behandlingen skall så långt det är möjligt utformas och genomföras i samråd med patienten. Från och med den 1 januari 2007 gäller vidare att vården skall tillgodose patientens behov av kontinuitet och säkerhet i vården och att olika insatser för patienten skall samordnas på ett ändamålsenligt sätt.
När det mer specifikt gäller landstingens ansvar för hälso- och sjukvård framgår av 3 § hälso- och sjukvårdslagen att varje landstings huvuduppgift är att erbjuda en god hälso- och sjukvård åt befolkningen inom landstinget.
Det finns även ett särskilt planerings- och samverkansansvar för landstinget (se 7 och 8 §§hälso- och sjukvårdslagen). Landstinget skall planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen skall avse även den hälso- och sjukvård som erbjuds av privata och andra vårdgivare. I planeringen och utvecklingen av hälso- och sjukvården skall landstinget samverka med samhällsorgan, organisationer och privata vårdgivare.
Det kommunala ansvaret för hälso- och sjukvård är begränsat till vissa särskilda grupper, i huvudsak äldre personer och vissa grupper med fysiska eller psykiska funktionshinder. Kommunerna skall således erbjuda en god hälso- och sjukvård åt dem som bor i vissa särskilda boendeformer (se 5 kap. 5 § andra stycket, 5 kap. 7 § tredje stycket och 7 kap. 1 § första stycket 2 socialtjänstlagen [2001:453]) Varje kommun skall även erbjuda en god hälso- och sjukvård åt dem som vistas i sådan dagverksamhet som kommunerna har ansvar för enligt 3 kap. 6 § socialtjänstlagen.
När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret i dag på landstinget även om kommunerna i 18 § andra stycket hälso- och sjukvårdslagen har getts befogenhet att erbjuda dem som vistas i kommunen hemsjukvård. En skiljelinje mellan landstingens och kommunernas ansvarsområde är att kommunernas ansvar och befogenheter enligt 18 § hälso- och sjukvårdslagen inte omfattar sådan hälso- och sjukvård som meddelas av läkare.
Kommunen har på samma sätt som landstinget ett särskilt planerings- och samverkansansvar för sin hälso- och sjukvård (20 och 21 §§hälso- och sjukvårdslagen).
Enligt 5 § tandvårdslagen skall varje landsting erbjuda en god tandvård åt bl.a. dem som är bosatta inom landstinget.
Det finns även i tandvårdslagen ett särskilt planerings- och samverkansansvar för landstinget (se 8 och 9 §§). Landstinget skall planera tandvården med utgångspunkt i befolkningens behov av tandvård. Landstinget skall se till att det finns tillräckliga resurser för patienter med särskilda behov av tandvårdsinsatser och att patientgrupper med behov av särskilt stöd erbjuds tandvård. Planeringen skall avse även den tandvård som erbjuds av annan än landstinget. I planeringen och utvecklingen av tandvården skall landstinget samverka med samhällsorgan, organisationer och enskilda.
Ansvarskommittén är en parlamentarisk kommitté som skall undersöka den nuvarande samhällsorganisationens förutsättningar att klara de offentliga välfärdsåtagandena (dir. 2003:10). En utgångspunkt för kommittén är att en långtgående kommunal självstyrelse inom ramen för ett starkt nationellt ansvar för likvärdig välfärd i hela landet skall bibehållas. Kommitténs arbete omfattar en rad huvudfrågor såsom bl.a. omfattningen av det samlade kommunala uppdraget - vilka uppgifter den kommunala nivån skall ansvara för samt struktur- och uppgiftsfördelningen mellan staten, landstingen och kommunerna när det gäller hälso- och sjukvård.
Kommittén skall redovisa resultaten av sitt arbete senast den 28 februari 2007
2.1.2. Driftsformer
Landstingets skyldighet att erbjuda en god hälso- och sjukvård enligt 3 § hälso- och sjukvårdslagen innebär inte att landstinget självt måste bedriva verksamheten (prop. 1981/82:97 s. 33). Detsamma gäller
kommuns skyldighet att erbjuda en god hälso- och sjukvård enligt 18 § samma lag.
Ett landsting har i 3 § tredje stycket hälso- och sjukvårdslagen uttryckligen medgetts rätt att sluta avtal med någon annan om att utföra de uppgifter som landstinget ansvarar för enligt hälso- och sjukvårdslagen. Motsvarande bestämmelse i fråga om tandvård finns i 5 § tredje stycket tandvårdslagen. I 18 § femte stycket hälso- och sjukvårdslagen har en kommun getts samma rätt att sluta avtal i fråga om de uppgifter som kommunen ansvarar för enligt hälso- och sjukvårdslagen. Sådana uppgifter som innefattar myndighetsutövning får dock inte med stöd av nämnda bestämmelser överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ.
Den 1 januari 2006 trädde nya bestämmelser i hälso- och sjukvårdslagen i kraft. Dessa innebär att uppgiften att bedriva hälso- och sjukvård som ges vid ett regionsjukhus eller en regionklinik inte får överlämnas till någon annan. Vidare föreskrivs att varje landsting skall driva minst ett sjukhus i det egna landstinget i egen regi. Överlämnar landstinget driften av hälso- och sjukvård vid övriga sjukhus till någon annan, skall avtalet innehålla villkor om att verksamheten skall drivas utan syfte att ge vinst åt ägare eller motsvarande intressent, och att vården skall bedrivas uteslutande med offentlig finansiering och vårdavgifter. Lagändringarna gäller inte sådan hälso- och sjukvårdsverksamhet där avtal om drift har träffats före ikraftträdandet.
Större delen av den svenska hälso- och sjukvården bedrivs av kommuner och landsting i egen regi, dvs. i förvaltningsform. Det har emellertid blivit mer vanligt förekommande att vårdverksamhet överlämnas att utföras av privata vårdgivare såsom privatägda aktiebolag och stiftelser. Vidare har viss verksamhet överlämnats att utföras av kommun- eller landstingsägda aktiebolag. Verksamhet utförs även av enskilda privatpraktiserande läkare och sjukgymnaster som har samverkansavtal med ett landsting och som får ersättning enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för sjukgymnastik.
Även om ett landsting låter privata entreprenörer utföra vården, svarar landstinget fortfarande i egenskap av huvudman för den utlagda verksamhetens innehåll och har kvar sitt vårdansvar enligt hälso- och sjukvårdslagen (se prop. 2004/05:145 s. 10).
Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget och utan inslag av offentlig finansiering. I dessa fall ansvarar inte landstinget eller kommunen i
egenskap av huvudman för verksamheten. Socialstyrelsen utövar dock tillsyn även över den helt privatfinansierade hälso- och sjukvården.
2.1.3. Ledningen av hälso- och sjukvården
Ansvariga nämnder
I 10 § hälso- och sjukvårdslagen och 11 § tandvårdslagen sägs att ledningen av landstingens hälso- och sjukvård och av folktandvården skall utövas av en eller flera nämnder. För en sådan nämnd gäller vad som är föreskrivet om nämnder i kommunallagen (1991:900). I flertalet av landstingen utövas ledningen av hälso- och sjukvården av landstingsstyrelsen eller av hälso- och sjukvårdsnämnder. I Stockholms läns landsting har i stället inrättats en beställarorganisation med ett hälso- och sjukvårdsutskott (beställare) och ett ägarutskott (producent).
Ledningen av kommunens hälso- och sjukvård utövas enligt 22 § hälso- och sjukvårdslagen av den eller de nämnder som kommunfullmäktige enligt 2 kap. 4 § socialtjänstlagen bestämmer. I en kommun som inte ingår i ett landsting utövas ledningen av den hälso- och sjukvård som avses i 18 § första eller andra stycket hälso- och sjukvårdslagen i enlighet med 10 § nämnda lag.
När det gäller frågan vilka organisatoriska enheter inom hälso- och sjukvården som utgör myndigheter anses varje nämnd med tillhörande förvaltningsorgan utgöra en egen myndighet.
Den 1 juli 2003 trädde lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet i kraft. Lagen ger ett landsting och en eller flera kommuner som ingår i landstinget rätt att genom samverkan i en gemensam nämnd gemensamt fullgöra landstingets uppgifter enligt bl.a. hälso- och sjukvårdslagen och tandvårdslagen och kommunens uppgifter enligt bl.a. hälso- och sjukvårdslagen.
Privata vårdgivare
När det gäller den enskilda hälso- och sjukvården ger den associationsrättsliga lagstiftningen besked om vem som bär ansvaret för hur verksamheten organiseras. Om vårdverksamheten bedrivs i exempelvis aktiebolagsform ansvarar bolagets styrelse (se prop. 1995/96:176 s. 57).
Verksamhetschef
Enligt 29 § första stycket hälso- och sjukvårdslagen skall det inom hälso- och sjukvård finnas någon som svarar för verksamheten (verksamhetschef). Detta gäller oavsett om verksamheten är allmän eller enskild. Verksamhetschefen behöver inte tillhöra hälso- och sjukvårdspersonalen utan kan tillhöra annan yrkeskategori (prop. 1995/96:176 s. 104). Verksamhetschefen får dock bestämma över diagnostik eller vård och behandling av enskilda patienter endast om han eller hon har tillräcklig kompetens och erfarenhet för detta.
Medicinskt ansvarig sjuksköterska
Av 24 § hälso- och sjukvårdslagen följer att det inom det verksamhetsområde som kommunen bestämmer över skall finnas en medicinskt ansvarig sjuksköterska. Denna sjuksköterska skall svara för att det finns sådana rutiner att kontakt tas med läkare eller annan hälso- och sjukvårdspersonal när en patients tillstånd fordrar det samt att beslut om att delegera ansvar för vårduppgifter är förenliga med säkerheten för patienterna. Sjuksköterskan skall vidare svara för att anmälan görs till den nämnd som har ledningen av hälso- och sjukvårdsverksamheten, om en patient i samband med vård eller behandling drabbats av eller utsatts för risk att drabbas av allvarlig skada eller sjukdom.
Den medicinskt ansvariga sjuksköterskan är underställd verksamhetschefen i de fall de båda uppdragen inte är förenade (prop. 1995/96:176 s. 104).
2.1.4. Hälso- och sjukvård på tre nivåer
Hälso- och sjukvården inom landstingens ansvarsområde kan delas in i tre nivåer: 1) primärvård, 2) länssjukvård och 3) region- och rikssjukvård.
Primärvård
Primärvården utgör basen för det svenska sjukvårdssystemet. Primärvård bedrivs vid drygt tusen vårdcentraler, distriktssköterskemottagningar, familjeläkarenheter och privata läkarmottagningar med vilka landstingen har entreprenadavtal.
Primärvården skall kunna tillgodose de flesta patienters behov, och svarar för insatser där sjukhusens resurser inte krävs. Många patienter med kroniska åkommor går på regelbundna kontroller i primärvården. I de fall diagnostik och behandling behöver ske med ytterligare resursinsatser remitteras patienten till specialister inom länssjukvården.
Länssjukvård
När diagnostik eller behandling kräver resurser utöver primärvårdsnivån, remitteras patienter från primärvård till en specialistläkarmottagning utanför eller vid sjukhus. Många patienter söker sig direkt till sjukhusens mottagningar eller har fortlöpande kontakter med någon specialistläkarmottagning. Sjukhusen inom länssjukvården indelas traditionellt i länsdels- och länssjukhus. Det finns över tjugo länssjukhus och ett fyrtiotal länsdelssjukhus i Sverige.
Region- och rikssjukvård
Enligt 9 § hälso- och sjukvårdslagen får regeringen föreskriva att landet skall delas in i regioner för den hälso- och sjukvård som berör flera landsting. Landstingen skall samverka i frågor som rör sådan hälso- och sjukvård. Enligt förordningen (1982:777) om rikets indelning i regioner för hälso- och sjukvård som berör flera landstingskommuner skall riket vara indelat i sex regioner. I varje sjukvårdsregion har inrättats en samverkansnämnd, vars uppgift bl.a. är att inom regionen samordna den högspecialiserade vården. En samverkansnämnd torde ha enbart en rådgivande funktion.
Det finns nio regionsjukhus i Sverige. Där behandlas sällsynta och komplicerade sjukdomar och skador efter remiss från länssjukvården. Landsting och regioner som inte har ett eget regionsjukhus har avtal med ett annat landsting eller annan region som kan ta emot patienter till den högspecialiserade vården.
Regionsjukhusens sjukhusverksamhet omfattar förutom regionsjukvården även länsdelssjukvård till närboende och länssjukvård för det egna landstinget.
Den 1 januari 2007 träder bestämmelser om rikssjukvård i kraft (9 a och b §§ hälso- och sjukvårdslagen). Med rikssjukvård avses hälso- och sjukvård som bedrivs av ett landsting och som samordnas med landet som upptagningsområde. Socialstyrelsen beslutar vilken hälso- och sjukvård som skall utgöra rikssjukvård. Rikssjukvården skall samordnas till enheter där en hög vårdkvalitet och en ekonomiskt effektiv verksamhet kan säkerställas. För att bedriva rikssjukvård krävs tillstånd av Socialstyrelsen.
2.2. En hälso- och sjukvård i förändring
Svensk hälso- och sjukvård genomgick under 1990-talet stora förändringar. Bland annat genomfördes tre omfattande huvudmannaskapsreformer, Ädelreformen (år 1992), Handikappreformen (år 1994) och Psykiatrireformen (år 1995). Vid Ädelreformen, som närmare beskrivs i avsnitt 14.2.2, infördes de skyldigheter för kommunerna att tillhandahålla hälso- och sjukvård åt äldre och funktionshindrade som regleras i hälso- och sjukvårdslagen, se ovan i avsnitt 2.1.1.
Handikappreformen innebar framför allt att en ny lag, lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS), trädde i kraft. LSS innehåller bestämmelser om särskilt stöd och särskild service till personer med funktionshinder som ger upphov till betydande svårigheter i det dagliga livet. LSS skall komplettera de rättigheter som den enskilde kan ha enligt annan lagstiftning. Genom ändringar i hälso- och sjukvårdslagen förtydligades vidare sjukvårdshuvudmännens ansvar för habilitering, rehabilitering, hjälpmedel samt för landstingens del även tolktjänst. Kommunerna blev genom ett tillägg i då gällande socialtjänstlagen skyldiga att bedriva uppsökande verksamhet bland äldre och funktionshindrade och planera sina insatser i samverkan med landstinget och andra berörda.
Syftet med Psykiatrireformen var att förbättra livsvillkoren för personer med psykiska funktionshinder. Genom en ändring i den då gällande socialtjänstlagen förtydligades att kommuners ansvar för uppsökande verksamhet, planering och samverkan även avsåg personer med psykiska funktionshinder. Vidare fick kommunerna genom en ändring i lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård betalningsansvaret för medicinskt färdig-
behandlade patienter som vårdats sammanhängande i mer än tre månader inom psykiatrisk heldygnsvård och som av en specialist i psykiatri bedömts vara färdigbehandlad inom sådan vård. Psykiatrireformens målgrupp utgjordes främst av personer som har långvariga och allvarliga psykiska besvär och som har svårt att klara det dagliga livet och därför har behov av vård och omsorg.
En annan förändring under 1990-talet var införandet av den fria kommunala nämndorganisationen genom vilken det blev möjligt att organisera landstingens och kommunernas verksamheter tämligen fritt. Exempelvis kan hälso- och sjukvård delas upp mellan flera olika nämnder. Sedan några år har sjukvårdshuvudmännen, dvs. landstingen och kommunerna, också möjlighet att samverka kring uppgifter enligt hälso- och sjukvårdslagen i gemensamma nämnder, se lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i kommunalförbund, se 3 kap. 20 § kommunallagen (1991:900).
Under 1990-talet stärktes patientens ställning i hälso- och sjukvården genom olika reformer. I hälso- och sjukvårdslagen och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område infördes bestämmelser som preciserar vårdgivarnas respektive hälso- och sjukvårdspersonalens skyldigheter att ge patienten en individuellt anpassad information om sitt hälsotillstånd och om de olika metoder för undersökning, vård och behandling som finns. Vidare blev vårdgivarna respektive hälso- och sjukvårdspersonalen skyldiga att ta hänsyn till patientens val av behandling där två eller flera alternativ är möjliga och att i vissa situationer medverka till att patienten får möjlighet att diskutera sin sjukdom och behandling med ytterligare en läkare (s.k. second opinion). Andra reformer avsåg vårdgarantin och möjligheten att välja vårdgivare.
Hälso- och sjukvården har under senare år genomgått stora strukturförändringar och antalet driftsformer inom sjukvården är i dag fler än för bara några år sedan. I dag är det vidare allt mer vanligt att patienter vårdas och behandlas av olika vårdgivare, inte sällan i en vårdkedja. Ett stort antal privata vårdgivare ingår numera regelmässigt i vårdkedjan. Det blir alltså allt vanligare att patienter har kontakt med flera olika vård- och omsorgsgivare samtidigt eller flyttas mellan dem. Det sagda innebär att det antal yrkesutövare som direkt involveras i vården av en enskild patient ökar. Det allt friare vårdvalet innebär dessutom en möjlighet att geografisk vårdgivartillhörighet oftare kan komma att ersättas av individuellt vald tillhörighet utanför det geografiska närområdet. Den fria rörligheten av personer inom EU innebär dessutom möjligheter till gränsöverskridande vård.
Vidare sker i dag en förskjutning av vård från traditionell sjukhusmiljö till hemmiljö, både i ordinärt och särskilt boende. Internet innebär en viktig förutsättning för utveckling av möjligheterna att ge allt mer vård i hemmiljö och för att kunna använda specialistkompetens inom hälso- och sjukvården på ett sätt så att förutsättningarna för att erhålla en lika god vård oavsett bosättningsort förbättras. De senaste årens utveckling mot kortare vårdtider och allt större rörlighet för både patienter och personal kommer av allt att döma att fortsätta framöver. Samtidigt har patienternas inflytande och kännedom om rätten till information m.m. ökat. Den ökade Internet-användningen innebär även att enskilda i allt större utsträckning kommer att på egen hand söka efter kvalitetssäkrad information om t.ex. sjukdomar, läkemedel och egenvård och efterfråga möjligheter att kontakta vården via Internet för att t.ex. boka tider, förnya recept eller få rådgivning. Sammantaget innebär dessa faktorer att de krav som samhället, patienterna och omvärlden ställer på patientdokumentation och annan informationshantering inom hälso- och sjukvården har ökat.
Svensk hälso- och sjukvård står nu inför en rad stora kvalitativa, strukturella och finansiella utmaningar. Den demografiska utvecklingen framöver medför att andelen äldre personer i befolkningen ökar i förhållande till andelen personer i förvärvsaktiv ålder. Den medicinska och medicintekniska utvecklingen innebär samtidigt nya möjligheter till vård och behandling. Möjligheter som i största möjliga utsträckning måste tas tillvara för att medborgarnas framtida behov av vård skall kunna tillgodoses. En utvecklad och samordnad användning av IT-stöd är också en viktig förutsättning för att höja vårdens kvalitet och att ytterligare förbättra patientsäkerheten och därmed bidra till en effektivisering av sjukvården. Genom IT-stöd kan även en effektivare resursanvändning komma till stånd genom en utvecklad analys- och uppföljningsverksamhet. Både EU och WHO har pekat ut e-hälsa som ett av de mest centrala verktygen för att vård- och omsorgssektorn skall kunna möta framtida utmaningar. E-hälsa är det internationella samlingsnamnet för användningen av informations- och kommunikationsteknik inom hälso- och sjukvården. Dessa faktorer är viktiga att beakta när det gäller såväl strukturella frågor som den organisatoriska utformningen av både ledningen och styrningen av hälso- och sjukvården och den direkt vårdande delen av verksamheten som mer individinriktade frågor som vårdens utformning i ett patientperspektiv, hantering av vårddokumentation etc.
Som nämnts tidigare har Ansvarskommittén i uppdrag att bl.a. analysera och vid behov föreslå förändringar av hälso- och sjukvårdens struktur och nuvarande uppgiftsfördelning mellan staten, landstingen och kommunerna. Resultatet av kommitténs arbete, vilket skall redovisas senast den 28 februari 2007, kan komma att påverka hur vård- och omsorgssektorn skall organiseras och finansieras i framtiden.
2.3. IT-användning i hälso- och sjukvården
Det finns ingen officiell statistik eller sammanställning av IT-användningen inom den allmänna eller enskilda hälso- och sjukvården.
Landstingens IT-chefer gör dock via sin intresseförening SLIT (Sveriges Landstings IT-chefer) sedan flera år en egen inventering avseende system, utveckling och kostnader för IT-stöd. Rapporten ITstöd inom landstingen i Sverige, som publicerades i juni 2006, innehåller en sammanfattning av resultaten från 2006 års systeminventering med fokus på IT-stöd i det direkta vårdarbetet. Av rapporten framgår att införandet av IT-stöd för vårddokumentation är i princip fullständigt genomfört inom primärvården. Sjukhus och psykiatri har datorstödd vårddokumentation till 69 respektive 75 procent. IT-stöd för tandvårdsjournal är i det närmaste helt införd i alla landsting.
I nämnda rapport anges vidare att de flesta landsting har eller kommer att ha samma IT-stöd för vårddokumentation för sjukhus, psykiatri och primärvård och att de flesta landsting också väljer att skapa en gemensam databas med åtkomst enligt konceptet ”en patient – en journal ” inom landstinget.
I fråga om IT-stöd för patientadministration – varmed avses ITstöd för kassa, tidbok, ekonomihantering m.m. – anges i rapporten att samtliga landsting har sådant IT-stöd sedan många år. Vidare anges att patientadministrationen i dag till stor del integreras i de journalsystem som införts i många landsting.
Enligt nämnda rapport har ungefär hälften av alla landsting helt elektronisk remiss- och svarshantering för röntgen och klinisk kemi. Det är dock inte i dag möjligt att skicka remisser mellan sjukvårdshuvudmännen på grund av avsaknad av en gemensam standard.
Landstingen erbjuder olika e-tjänster som service till patienter. Enligt rapporten är de mest förekommande receptförnyelse och bokning/avbokning av besök.
Även om Sverige ligger långt fram när det gäller användning av IT inom hälso- och sjukvården finns flera problem som har betydelse för informationsöverföringen. De befintliga systemen har utvecklats utifrån de enskilda verksamheternas behov. De är inte kompatibla, vilket leder till merarbete för hälso- och sjukvårdspersonalen och begränsningar i fråga om effektivitet och patientsäkerhet. Begrepp och termer inom hälso- och sjukvården används på olika sätt och det finns ingen gemensam informationsstruktur.
Som vi återkommer till i avsnitt 3.2 har den nationella ledningsgruppen för IT i vård och omsorg utarbetat en nationell IT-strategi för vård och omsorg. Regeringen har i en skrivelse till riksdagen (skr. 2005/06:139) redogjort för denna strategi. Utgångspunkterna för insatserna som slås fast i strategin är att IT är ett av de viktigaste verktygen för att förnya och utveckla vård- och omsorgsverksamheterna. Patientsäkerhet, vårdkvalitet och tillgänglighet kan enligt strategin kraftigt förbättras genom användning av olika former av IT-stöd. För att dessa nyttoeffekter skall kunna uppnås krävs en fördjupad nationell samverkan. Utarbetandet av den nationella ITstrategin sägs utgöra första etappen i ett långsiktigt arbete för att få till stånd en fördjupad nationell samverkan kring dessa frågor.
3. Den nationella IT-strategin och några utvecklingsprojekt
3.1. Inledning
Arbetet i den nationella ledningsgruppen för IT i vård och omsorg har utmynnat i en nationell IT-strategi för vård och omsorg som kan ligga till grund för det fortsatta utvecklingsarbetet på olika nivåer. I detta kapitel ges inledningsvis en översiktlig redovisning av denna strategi. Därefter redovisas ett antal utvecklingsprojekt kring elektroniskt utbyte av patientinformation och kring patienters möjlighet att via Internet ta del av uppgifter som sig själva. I avsnitt 3.3 beskriver vi några sådana landstingsdrivna projekt. I avsnitt 3.4 redovisar vi några nationella initiativ och projekt på området. Urvalet av redovisade projekt har givetvis gjorts utifrån det fokus som följer av de olika frågeställningar som Patientdatautredningen har att beakta i arbetet.
3.2. Nationell IT-strategi för vård och omsorg
IT-politiska strategigruppen
Sommaren 2003 beslutade regeringen att tillsätta en IT-politisk strategigrupp med uppdrag att främja informationssamhällets fortsatta utveckling i Sverige. Arbetet leds av Näringsdepartementet.
Strategigruppen tillsatte i sin tur en särskild arbetsgrupp – Arbetsgruppen för IT inom vård och omsorg – med uppdrag att ta fram en nationell strategi för IT inom vård och omsorg. Arbetsgruppen bestod av företrädare för departement och centrala aktörer inom vård- och omsorgsområdet. Vid årsskiftet 2004/05 lämnade arbetsgruppen en rapport till IT-politiska strategigruppen för vidare hantering internt inom Regeringskansliet.
Gruppen har fortsatt som en referensgrupp i Socialdepartementets regi. Alltsedan dess är den inte längre en undergrupp till IT-politiska
strategigruppen utan fungerar som referensgrupp till ledningsgruppen för IT i vård och omsorg (se vidare nedan).
Nationella ledningsgruppen för IT i vård och omsorg
Regeringen och Sveriges Kommuner och Landsting tog i Dagmaröverenskommelsen för år 2005 ett gemensamt initiativ till fördjupad nationell samverkan kring IT-utvecklingen inom vård- och omsorg.
Socialdepartementet tillsatte i mars 2005 den nationella ledningsgruppen för IT i vård och omsorg. I gruppen ingår representanter för Socialdepartementet, Sveriges Kommuner och Landsting, Socialstyrelsen, Läkemedelsverket, Apoteket AB och Carelink.
Vidare skapades en referensgrupp av experter och branschföreträdare för att fungera som ett rådgivande beredningsorgan till ledningsgruppen. Referensgruppen består av representanter från andra berörda departement, utredningar (bl.a. Patientdatautredningen) och statliga myndigheter, av representanter från forskarvärlden, företrädare för privata vårdgivare, läkemedelsindustrin och vårdens ITleverantörer samt företrädare för vårdpersonalens nationella organisationer.
Ledningsgruppens arbete har utmynnat i en nationell IT-strategi för vård och omsorg som presenterades i mars 2006 (skr. 2005/06:139). Strategin är i första hand inriktad på insatser inom hälso- och sjukvården och den del av omsorgsverksamheterna som angränsar till hälso- och sjukvårdens verksamhet. Strategin ska fungera som ett stöd för det lokala och regionala arbetet och lägga grunden till en fördjupad samverkan på nationell nivå. Avsikten är att strategin skall godkännas och tillämpas av staten, landstingen, kommunerna samt övriga vårdgivare och intressenter inom vård- och omsorgssektorn. Den nationella ledningsgruppen har fått förlängt mandat för att under år 2006 säkerställa en bred förankring samt föra en strategisk diskussion kring de beslut som behöver fattas på olika nivåer för att målen i IT-strategin skall kunna realiseras.
I IT-strategin har följande vision formulerats:
Med hjälp av ändamålsenliga IT-stöd får alla patienter god och säker vård och bra service. Vårdpersonalen kan ägna mer tid åt patienterna och anpassa vården till varje patients behov. IT används som ett strategiskt verktyg i alla delar av vården och de samlade vårdresurserna utnyttjas på ett mer effektivt sätt:
- Medborgare, patienter och anhöriga har enkel tillgång till allsidig information om vård och hälsa samt om sin egen hälsosituation. De erbjuds bra service och är delaktiga i vården utifrån individuella förutsättningar.
- Personal inom vård och omsorg har tillgång till välfungerande och samverkande IT-stöd som garanterar patientsäkerheten och underlättar deras dagliga arbete.
- Ansvariga för vård och omsorg har ändamåls enliga IT-stöd för att följa upp patientsäkerheten och vårdens kvalitet samt för verksamhetsstyrning och resursfördelning.
Vidare har det i IT-strategin fastställts fem grundläggande och strategiska frågor för vårdens fortsatta utveckling, effektivisering och förnyelse som sektorns aktörer behöver ta ställning till. Ställningstagandena i dessa fem frågor får enligt IT-strategin direkta konsekvenser för den fortsatta IT-användningen i vården:
1. Förstärka medborgarnas och patienternas ställning och inflytande Medborgarnas och patienternas ställning och inflytande i vården har förstärkts, vilket avspeglas både i allmänna värderingar och i lagstiftningen. I detta ingår att patienter och deras närstående nu har bättre tillgång till information om vården. De praktiska förutsättningarna för att kontakta och påverka vården har också förbättrats, och har därigenom ökat delaktigheten i vården. Denna förstärkning av patienternas inflytande skall fortsätta och kommer att få direkta konsekvenser för utformningen av IT-stöden i vården och för patienternas och deras närståendes tillgång på information av olika slag.
2. Ge vård utan hinder av verksamhetsmässiga och administrativa gränser samt geografi ska avstånd Det finns en rad faktorer som gör det allt viktigare att vården fungerar utan hinder av verksamhetsmässiga och administrativa gränser och geografi ska avstånd. De största vårdbehoven har starkt lokal karaktär, främst vården av äldre och psykiskt sjuka. Ansvaret för dessa verksamheter delas av landstingen och kommunerna och förutsätter ett nära samarbete. Rörligheten i befolkningen ökar i samband med studier, byte av arbete, bostadsort eller olika sommar- och vinterboende. Detta gör det angeläget att vården kan fungera
utan avbrott även när människor flyttar eller bor på flera ställen. Andra skäl för att vården måste kunna fungera över gränser av olika slag är att många typer av vård måste koncentreras till ett begränsat antal vårdenheter, i extremfallet till en plats i landet. Vidare har patienternas rätt och möjligheter att välja vård på annan ort sedan länge varit jämförelsevis stora och har ytterligare förbättrats sedan det fria vårdvalet infördes år 2003. Den nyligen införda vårdgarantin kan komma att öka rörligheten inom vården än mer.
3. Ge vårdpersonalen effektiva kvalitets- och kompetenshöjande arbetsredskap
IT i den svenska vården utnyttjas ojämnt, och används totalt sett jämförelsevis lite. Det finns därför behov av en utbyggd och mer jämn tillgång till effektiva IT-stöd. De IT-stöd som finns skall vara användarvänliga och förenkla de vardagliga rutinerna för vårdpersonalen. Helst skall alla IT-stöd kunna hanteras med samma användargränssnitt och ha gemensamma funktioner för inloggning, säkerhet och kommunikation. På detta område finns behov av förbättringar och samarbete i vården. Det finns stora möjligheter att förbättra tillgängligheten och servicen i vården med hjälp av IT. Det finns vidare stora möjligheter att med hjälp av olika kunskapsbaserade expert- och beslutsstödssystem förstärka personalens kompetens och därmed vårdens kvalitet. Bland annat kan risken för felaktig eller olämplig behandlig, exempelvis felaktig läkemedelsordination, därigenom minskas. Denna utveckling har just börjat. Nationellt samarbete krävs för att den bästa expertisen skall kunna anlitas.
4. Sträva efter god resurshushållning och ekonomisk effektivitet i verksamheten
IT används sedan länge för planering, styrning och uppföljning av vårdens verksamhet. Det är självfallet viktigt att IT-stöden för dessa uppgifter fortlöpande utvecklas och förbättras. Det är vidare angeläget att med hjälp av IT förkorta väntetider och samordna vården för patienterna samt minska det administrativa arbetet för personalen. IT erbjuder också en rad möjligheter till förbättrad resurshushållning i ett strategiskt perspektiv. En är att köpa kvalificerade tjänster via elektronisk kommunikation, t.ex. för diagnostik inom radiologi och laboratoriemedicin. En annan möjlighet är att kvalificerad personal kan utnyttjas mer effektivt genom att profes-
sionella nätverk skapas. Det är i dag tekniskt möjligt att exempelvis samordna jourtjänstgöringen för personal inom en rad specialiteter inom landstinget, i sjukvårdsregionerna och på nationell nivå. Möjligheterna att på dessa sätt effektivisera användningen av kvalificerade och ofta knappa resurser växer snabbt. De förutsätter i många fall samarbete mellan flera huvudmän eller samarbete på nationell och internationell nivå.
5. Skapa goda förutsättningar för IT i vården
Användningen och utbyggnaden av IT i vården försvåras av en rad generella problem och brister i förutsättningarna för att använda IT på ett effektivt sätt. Dessa problem och brister kan i regel hänföras till tre områden: behov av lagändringar, krav på att informationen (termer och begrepp) ska vara entydigt definierad samt behov av bättre teknisk infrastruktur för IT. För att mer generellt skapa goda förutsättningar för IT i vården behöver vi därför:
- harmonisera lagar och andra regler med en ökad IT-användning med bevarat integritetsskydd
- skapa en nationell informationsstruktur för vården
- vidareutveckla den nationella tekniska infrastrukturen i vården för att skapa en säker elektronisk kommunikation, både mellan olika vårdenheter och vid användning av avancerade medicintekniska produkter.
För att förverkliga de intentioner som redovisats ovan krävs gemensamma och koordinerade insatser mellan hälso- och sjukvårdens samtliga aktörer. Det arbete som enligt strategin behöver uträttas är uppdelat på sex insatsområden: 1) harmonisera lagar och regelverk med en ökad IT-användning, 2) skapa en gemensam informationsstruktur, 3) skapa en gemensam teknisk infrastruktur, 4) skapa förutsättningar för samverkande och verksamhetsstödjande ITsystem, 5) möjliggöra åtkomst till information över organisationsgränser, och 6) göra information och tjänster lättillgängliga för medborgarna.
3.3. Landstingsdrivna projekt
3.3.1. Stockholms läns landsting
I Stockholms läns landsting bedrivs projektet Gemensam vårddokumentation.
Genom projektet skapas ett vårdinformationsarkiv. Tanken är att patientinformation från länets offentliga och privata vårdgivare inom den landstingsfinansierade vården skall lagras i en gemensam vårddatabas (GVD).
För att behörig vårdpersonal skall få ta del av information om en patient krävs att det finns en vårdrelation med patienten. För tillgång till en annan vårdgivares patientinformation krävs dessutom att patienten har lämnat sitt samtycke till utlämnandet eller att en sekretessprövning har gjorts som utmynnat i att informationen kan lämnas ut.
En behörighetsadministrativ tjänst (BAT) hanterar bl.a. autenticering av användare, administration av rättigheter och åtkomstkontroll.
3.3.2. Landstinget i Uppsala län
Landstinget i Uppsala län drev projektet Sustains
TPTF
1
FTPT
hälso- och sjuk-
vårdskonto under åren 1997–2001. I den första delen av projektet gavs 100 patienter på Akademiska sjukhuset i Uppsala tillgång till sina uppgifter ur sjukhusets vårdadministrativa system under tre månader. I den andra delen fick 100 patienter på tre vårdcentraler i Uppland och Dalarna tillgång till uppgifter ur sina primärvårdsjournaler.
Utifrån de erfarenheter som projektet hade gett och patienternas önskemål utvecklades ett nytt hälso- och sjukvårdskonto. I september 2002 fick samtliga patienter (2 300) på en husläkarmottagning i Uppsala erbjudande om att öppna hälso- och sjukvårdskonto. Kontot sattes i drift den 1 januari 2003 för de patienter som hade anmält sig (ca 15 procent av de tillfrågade).
När patienten ansöker om ett hälso- och sjukvårdskonto gör läkaren en sekretessprövning av om patienten kan få del av de uppgifter som finns lagrade i kontot. Läkaren gör även en sådan sekretessprövning i samband med att journalföring sker. Journalanteckningar
1
Sustains står för Support for Users to Access Information and Services.
blir inte tillgängliga för patienten förrän de har signerats. Om uppgifterna är känsliga, tar läkaren kontakt med patienten och förklarar betydelsen innan signering sker. Uppgifter som omfattas av sekretess gentemot patienten görs inte tillgängliga.
Hälso- och sjukvårdskontot innehåller en förteckning över möten med mottagningen som patienten haft, uppgift om planerade besök för patienten, förteckning över erlagda patientavgifter, uppgift om aktuella sjukskrivningar, de dokument som läkaren sänder och mottar rörande patienten, laboratoriesvar, förteckning över förskrivna läkemedel, journaltext, uppgift om diagnos och överkänslighet samt uppgifter om patientens sjukhusvård. Vidare kan läkare och patient utväxla meddelanden via hälso- och sjukvårdskontot.
För att patienten skall kunna ta del av sina uppgifter eller utväxla meddelanden med läkaren måste han eller hon först logga in sig med en PIN-kod och ett via sin mobiltelefon erhållet engångslösenord.
Datainspektionen inledde tillsyn mot landstingsstyrelsen och fann i beslut den 16 oktober 2003 att det inte är förenligt med bestämmelserna i vårdregisterlagen att ge enskilda patienter direktåtkomst till uppgifter i vårdregister via Internet. Landstinget upphörde med att ge patienter direktåtkomst till vårduppgifter via Internet och överklagade Datainspektionens beslut. Landstinget gjorde bl.a. gällande att syftet med 8 § vårdregisterlagen är att förhindra att obehörig vårdpersonal ges tillgång till patientuppgifter och inte att förhindra att patienter får åtkomst till sina uppgifter.
Länsrätten i Stockholms län fann i dom den 12 oktober 2004 att Datainspektionen haft fog för sitt beslut, varför överklagandet avslogs. Länsrätten hänvisade i sin dom till förarbeten vari regeringen uttalat att det av hänsyn till sekretessen för uppgifter behövs särskilda regler för i vilken utsträckning direktåtkomst skall få finnas samt att direktåtkomst endast skall få förekomma i den utsträckning som anges i lag eller förordning.
Våren 2005 startade landstinget ett forskningsprojekt om patienters åtkomst till sin egen vårddokumentation via Internet. Forskningsprojektet utgör en fortsättning av de tidigare projekten och avser enligt ansökan om etikprövning att verifiera och komplettera tidigare resultat.
3.3.3. Landstinget i Östergötland
Våren 2004 infördes Vårdgivarportalen i Landstinget i Östergötland. Information från olika enheter i landstinget samlas i ett gemensamt IT-system. I den gemensamma plattformen ingår moduler såsom IRIS Patientöversikt, Läkemedelsmodulen och LabRoS.
IRIS Patientöversikt är en funktion för att ge behörig vårdpersonal möjlighet att söka efter uppgifter registrerade i landstingets olika datoriserade vårdsystem. Patientöversikten innehåller ett urval av uppgifter om patientens tidigare vårdkontakter. Det är respektive systemägare som bestämmer vilka uppgifter som skall ingå i översikten. Digitala röntgenbilder finns inte med i patientöversikten, men däremot utlåtandet. Det är enbart uppgifter som bedöms vara icke sekretessbelagda i förhållande till patienten som görs tillgängliga i patientöversikten. Personer med skyddade personuppgifter finns inte med i patientöversikten.
I Läkemedelsmodulen är det möjligt att få uppgift om vilka läkemedel som har förskrivits patienten.
LabRoS är en databas som innehåller laboratorieremisser och remissvar.
För att någon i vårdpersonalen skall kunna ta del av information i Vårdgivarportalen krävs att denne loggar in sig. För att få ta del av informationen krävs vidare att han eller hon är behörig och har en vårdrelation till patienten i fråga.
Till varje användares behörighet knyts ett s.k. verksamhetsuppdrag. Härmed avses uppdrag att utföra arbetsuppgift inom ramen för en yrkestillhörighet vid en viss sjukvårdande enhet, t.ex. en läkare vid Ortopedicentrum. Av verksamhetsuppdraget följer en läsrätt som är kopplad till det uppdrag användaren har på Ortopedicentrum. Om patienten inte har lämnat något samtycke till att vårdpersonal får ta del av uppgifter i Vårdgivarportalen, har användaren begränsad tillgång till vårdinformation. Han eller hon har då åtkomst till information enbart från Ortopedicentrum.
Om patienten har lämnat sitt samtycke, innebär det ett samtycke till att ta del av all information i Vårdgivarportalen. Samtycket gäller till dess det återkallas. Ett samtycke kan begränsas till att avse exempelvis enbart det aktuella vårdtillfället. Det krävs inte något skriftligt samtycke. I stället registrerar vårdpersonalen samtycket genom att kryssa i en ja-ruta i Vårdgivarportalen.
När det gäller medvetslösa patienter vars tillstånd kräver akut tillgång till tidigare vårdinformation kan behörig vårdpersonal få till-
gång till denna information även om samtycke inte tidigare har lämnats. Remissmottagare har alltid rätt att få tillgång till de uppgifter som behövs. Detta informeras patienterna om.
Landstinget i Östergötland driver även pilotprojektet PatientPortal. Projektet innebär att 100 patienter ges möjlighet att via Internet ta del av sina patientuppgifter. Patientportalen innehåller samma information om patienten som Vårdgivarportalen. Det är framförallt kroniskt sjuka som är intresserade av projektet.
Enligt landstingets uppfattning begär patienterna ett utlämnande enligt tryckfrihetsförordningen. De måste identifiera sig för att få tillgång till information. Enbart information som bedöms vara icke sekretessbelagd i förhållande till patienten görs tillgänglig. Patienterna tilldelas ett elektroniskt ID-kort och får en kortläsare hemskickad. Patienterna kan logga in sig från t.ex. sin hemdator och få tillgång till uppgifter om t.ex. laboratoriesvar, röntgensvar samt journalanteckningar från sjukhus och vårdcentraler. Via patientportalen får patienterna även möjlighet att förnya recept och boka tider. Framöver kommer patienterna även ges möjlighet att ta del av logguppgifter. Det kommer dock inte att framgå vem som har varit inloggad, utan endast vilken befattning personen i fråga har.
3.3.4. Region Skåne
Region Skåne driver sedan hösten 2002 projektet Klinisk Portal.
I den Kliniska Portalen finns ett antal s.k. sammanställningstjänster tillgängliga såsom Vårdöversikten, VMI och Gemensam Läkemedelslista. Med sammanställningstjänster avses tjänster som hämtar, sammanställer och presenterar patientinformation från olika befintliga datoriserade journalsystem. Användaren av Klinisk Portal kan gå in och söka information om en patient, men kan inte själv ändra eller lägga till något.
Vårdöversikten ger en översikt över patientens vårdkontakter och ger möjlighet att visa enskilda, utvalda journaldokument.
Gemensam Läkemedelslista utgör en förteckning över patientens aktuella läkemedel och vilka läkemedel som tidigare förskrivits patienten.
Tjänsten VMI (Viktig Medicinsk Information) innehåller i dagsläget endast information om vad patienten är överkänslig mot.
För att kunna få tillgång till någon av tjänsterna i den Kliniska Portalen krävs att personen i fråga har tilldelats behörighet därtill.
Vidare krävs att han eller hon vid inloggning identifierar sig med ett smart kort som innehåller ett av Region Skåne utfärdat certifikat. All information som passerar den Kliniska Portalen loggas. Det är således möjligt att se vilken information som har skickats och till vem samt när i tiden det skett.
Projektet har under hösten 2004 startat en pilotverksamhet, där två vårdcentraler och två sjukhus i Region Skåne använder sig av Klinisk Portal. Dessa vårdenheter anses ingå i samma sekretessområde.
Inom ramen för projektet Klinisk Portal finns delprojektet Patientliggaren. Patientliggaren skall användas framförallt av sjukhusens akutmottagningar. Genom patientliggaren uppnås en bättre kontroll av aktuellt patientflöde, de utredningar och behandlingar som igångsatts för varje patient samt patientens rumsliga förflyttningar.
3.3.5. Norrbottens läns landsting
Norrbottens läns landsting har varit förhållandevis tidigt med att införa ett sammanhållet elektroniskt journalsystem inom landstinget. Redan år 1998 fattade landstinget på central politisk nivå ett beslut om att införa ett sådant och det är i drift sedan flera år. I Norrbotten sorterar all landstingets hälso- och sjukvård, inkl. tandvård, under samma nämnd, dvs. ingår i samma myndighet.
Basen i systemet är det patientadministrativa systemet (VAS) vari både journalföring och patientadministration hanteras. Alla vårdinrättningar inom den slutna och öppna vården är anslutna till det gemensamma systemet, även den landstingsdrivna tandvården. Enligt uppgifter till utredningen har det gemensamma journalsystemet medfört en väsentlig minskning av hälso- och sjukvårdspersonalens administrativa arbete.
Inom landstinget är i princip alla journalanteckningar potentiellt tillgängliga via en patientöversikt som alla har tillgång till. Vissa begränsningar har dock lagts in vad gäller tillgång till särskilda journalanteckningar eller journaltyper, t.ex. i fråga om psykiatrin. Särskilt känslig information kan alltid ”sekretessmarkeras”. Därmed avses att informationen inte är läsbar utanför en snäv krets av behörig personal. En funktion finns dock som innebär att sekretessmarkeringar kan forceras av en del befattningshavare utanför kretsen men med särskild behörighet. Forceras spärrar, loggas detta och följs upp i särskild ordning.
3.4. Nationella initiativ och projekt
3.4.1. Carelink
Carelink Intresseförening är en ideell förening. Enligt dess stadgar är föreningens ändamål att främja en effektiv användning av IT inom vård och omsorg och att medverka till den samverkan som krävs för detta syfte. Huvuddelen av verksamheten bedrivs i ett helägt aktiebolag, Carelink AB. Föreningen skall enligt stadgarna främst vara ett forum för information och utbyte av idéer om verksamhetens inriktning och former.
Föreningen bildades i december 2000 av Landstingsförbundet och Svenska kommunförbundet (numera Sveriges Kommuner och Landsting), Föreningen Vårdföretagarna
TPTF
2
FTPT
och Apoteket AB.
Socialstyrelsen har ett samverkansavtal med föreningen. Landsting, regioner, kommuner och privata vårdföretag kan bli medlemmar i föreningen. För närvarande har föreningen samtliga landsting/regioner, 42 kommuner och 7 privata vårdgivare som medlemmar.
Carelink förvaltar och vidareutvecklar Sjunet, ett nationellt bredbandsnät för säker kommunikation mellan aktörerna inom hälso- och sjukvården. Samtliga landsting, ett antal kommuner, ett antal privata vårdgivare inklusive Praktikertjänst och Capio, Skatteverket, Apoteket AB m.fl. är i dag anslutna till Sjunet.
Carelink förvaltar också den nationella katalogtjänsten HSA, hälso- och sjukvårdens adressregister. Tjänsten möjliggör snabb och säker identifiering av kontaktpersoner och olika funktioner i t.ex. landsting eller kommuner. Katalogen används bl.a. för att centralt lagra aktuella organisations-, enhets-, funktions- och användardata och att lagra och publicera publika nycklar för e-legitimation/certifikat (s.k. PKI).
Carelinks utvecklingsarbete sker främst i ett antal större projekt som formulerats gemensamt med medlemmar och andra intressenter.
Carelink har bl.a. drivit PLUS-projektet
TPTF
3
FTPT
. Avsikten med projektet var att få beställare och leverantörer av IT-stöd inom hälso- och sjukvården att komma överens om ett antal grundförutsättningar vad avser arkitektur, gränssnitt, termer och begrepp. Detta för att underlätta framtida upphandling och integrering av befintliga IT-lösningar
P
2
P
Föreningen Vårdföretagarna är en arbetsgivar- och intresseorganisation för vårdgivare som
bedriver vård och omsorg i privat regi oavsett driftsform.
3
PLUS står för PlattformsUtveckling i Sverige.
och förenkla införandet av nya IT-lösningar. Projektet resulterade i att beställare och leverantörer enades om en gemensam referensarkitektur och ett antal beskrivningar av det principiella innehållet i tjänster för hantering av bl.a. åtkomstkontroll och loggning.
SITHS – Säker IT i Hälso- och Sjukvård – är ett mångårigt projekt som bl.a. arbetar med en elektronisk modell för säker kommunikation av medicinska data mellan informationssystem, i e-posthanteringen m.m. Man har bl.a. tagit fram en gemensam standard för elektronisk identifiering och signering, en PKI för vård och omsorg.
RIV-projektet
TPTF
4
FTPT
syftar till att åstadkomma ett för vård och omsorg
gemensamt regelverk för att säkerställa interoperabilitet mellan olika vård- och omsorgssystem, dvs. att underlätta ett strukturerat elektroniskt informationsutbyte. Utbytet kan ske mellan olika vård- och omsorgsgivare eller mellan vård- och omsorgsgivare och apotek, myndigheter och motsvarande organisationer. I RIV ingår riktlinjer, s.k. vad-dokument, och anvisningar, s.k. hur-dokument. Regelverket omfattar regler för teknisk interoperabilitet, dvs. hur system kan anpassas, och semantisk interoperabilitet avseende innehåll och struktur av informationen. De tekniska anvisningarna skall bl.a. användas för att ge vägledning för beställare i upphandlings- och implementeringssituationer samt för journalsystemsleverantörer. Metodanvisningarna beskriver hur man tar fram informationsspecifikationer för varje meddelande.
År 2003 gav Sveriges landstingsdirektörer Carelink i uppdrag att ta fram förslag till strategi och insatser för att utveckla IT-infrastrukturen för vård och omsorg. I maj 2004 presenterade Carelink rapporten ”En nationell IT-infrastruktur för vård och omsorg – Förslag till strategi och handlingsplan”. I rapporten föreslås – som ett första steg – utvecklandet av en nationell samverkande patientöversikt.
Patientöversikten skall vara en sammanställning av fördefinierade uppgifter kring en enskild patient som en behörig vårdgivare med patientens samtycke skall kunna söka fram vid behov. I patientöversikten skall basal information kring patienten presenteras, oavsett var informationen finns dokumenterad. Tjänsten skall ge möjlighet att läsa informationen, inte att dokumentera i den. Informationen i patientöversikten skall inte lagras centralt, utan endast finnas lagrad i de lokala källorna. Om det av patientöversikten framgår att patien-
4
RIV står för Regelverk för elektronisk Interoperabilitet inom Vård och omsorg.
ten vårdats eller behandlats på en viss vårdenhet, får den vårdgivare som behöver ytterligare uppgifter vända sig till den vårdenheten och begära ut information på sedvanligt sätt.
Tanken är att samtliga vårdgivare, dvs. såväl offentliga som privata, skall ha tillgång till patientöversikten och att även patienten skall kunna ta del av informationen.
Samtliga landsting har ställt sig bakom förslaget och projektet Nationell Patientöversikt har inletts.
Under år 2005 genomfördes steg ett av den Nationella patientöversikten. En pilotverksamhet med fyra landsting – Östergötland, Jönköping, Uppsala och Norrbotten – startades upp. Den information som fanns tillgänglig var patientens grunddata, patientens primärvårdskontakt på hemorten, laboratoriesvar, förskrivna läkemedel, diagnoser, slutenvårdsanteckningar (epikriser) och remissvar från röntgen. Syftet med piloten var att etablera och visa på möjligheten att kommunicera information mellan vårdgivare och patienten själv, samt att få praktisk erfarenhet av hur tjänsten bör användas och utformas, både avseende funktion och innehåll.
Steg två, som kallas Nationell patientöversikt 2006, innebär en utvidgning av patientöversikten i fråga om innehåll, funktion och arkitektur. Detta för att användningen skall kunna breddas och för att förväntad nytta av tjänsten ska kunna realiseras.
3.4.2. Socialstyrelsen
InfoVU-projektet
År 2001 gav regeringen Socialstyrelsen i uppdrag att, i samverkan med Sveriges Kommuner och Landsting, svara för samordningen av arbetet med att förbättra informationsförsörjning och verksamhetsuppföljning. Uppdraget har utförts inom projektet InfoVU (Informationsförsörjning och VerksamhetsUppföljning) som har arbetat i enlighet med den inriktning som framgår i propositionen Nationell handlingsplan för utveckling av hälso- och sjukvården (prop. 1999/2000:149).
InfoVU:s arbete har omfattat flera områden och har utförts i en rad olika delprojekt. Därutöver har man arbetat i s.k. kunskapsnätverk. Bland annat har man arbetat med att utveckla generaliserbara system för informationsförsörjningen för att dels möjliggöra ökad samverkan mellan huvudmännen kring den enskilde patienten, dels
kunna följa vårdens insatser genom hela sjukvårdsorganisationen, dvs. även över gränser mellan huvudmännen. Verksamhetsuppföljning byggd på individdata har varit ett prioriterat område och man har tagit fram en modell för verksamhetsuppföljning. Under år 2005 hade InfoVU bl.a. i uppdrag att pröva modellen för verksamhetsuppföljning.
I InfoVU-projektets huvudrapport Mäta och öppet redovisa resultaten i vård och omsorg redovisas kunskapsunderlag och förutsättningar som är nödvändiga för att kunna genomföra en individbaserad verksamhetsuppföljning och öppet redovisa resultat, kvalitet och kostnader. Enligt rapporten krävs bl.a. en ändamålsenlig och elektronisk dokumentation som följer patienten och där uppgifterna registreras med enhetlig informationsstruktur, enhetliga begrepp och termer, klassifikationer och kvalitetsindikatorer. Det behövs också metoder att ta fram resurs- och kostnadsdata och beskriva behov och sätta mål. I rapporten redovisas fem mätpunkter som är särskilt viktiga för individbaserad verksamhetsuppföljning. Dessa är: 1) kontaktorsak, 2) bedömning/diagnos, 3) behov, 4) åtgärder/insatser, och 5) resultat.
Socialstyrelsen hade under år 2005 – den 30 juni 2006 i uppdrag att, i samverkan med Sveriges Kommuner och Landsting, driva och samordna implementering och fortsatt utveckling av InfoVU:s arbete. Uppdraget genomfördes i ett antal delprojekt som redovisas i tre rapporter. : 1) På väg mot öppna redovisningar. Nuläge och exempel på stödinsatser för ökad tillgänglighet och användbarhet, 2) Individbaserad verksamhetsuppföljning för personer som insjuknat i stroke och personer med psykiska funktionshinder, och 3) Kostnad per brukare och per resultat. Pilotförsök inom vård och omsorg i Östersund.
I rapporterna konstateras att de resultat och slutsatser som lyfts fram i tidigare InfoVU-arbete stärks ytterligare. Det är möjligt att dokumentera information i anslutning till de fem mätpunkter som InfoVU tidigare identifierat som särskilt viktiga när man skall följa och avgöra vårdens resultat, kvalitet och kostnader. Viktig information dokumenteras dock inte systematiskt och enhetliga sätt att registrera informationen saknas. Det gäller t.ex. dokumentation av behov och tidsbestämda mål och de resultat man uppnår.
Nationell informationsstruktur samt normerad användning av begrepp och termer
År 2005 gav regeringen Socialstyrelsen i uppdrag att normera användningen av nationella termer och begrepp samt att ta fram en enhetlig informationsstruktur inom hälso- och sjukvård och omsorg, i syfte att skapa en tydlig information som stöder kommunikation och samverkan mellan huvudmän.
Uppdraget genomfördes i två samverkande projekt där dels förutsättningarna för normering inom området begrepp och termer och informationsstruktur utreddes, dels förslag togs fram för metoder, rutiner och förvaltning av en enhetlig nationell informationsstruktur.
Uppdraget redovisas i rapporten Normerad användning av begrepp och termer och en enhetlig informationsstruktur inom vård och omsorg. I rapporten belyses de förutsättningar som Socialstyrelsen har att normera inom området begrepp och termer och informationsstruktur. Vidare beskrivs de överväganden och förslag som Socialstyrelsen bedömt viktiga inför ett beslut om normering av användningen av begrepp och termer och en enhetlig informationsstruktur. Socialstyrelsen har som en del av uppdraget tagit fram en handbok för normering av begrepp och termer samt förslag till uppbyggnad och drift av Nationella Informationsstrukturens Bibliotek. Biblioteket innehåller beslutade specifikationer och regelverk.
I regleringsbrevet för år 2006 gav regeringen Socialstyrelsen i uppdrag att förbereda för att ta ett övergripande, nationellt och strategiskt ansvar för att individbaserad patientinformation görs mer entydig, uppföljningsbar och tillgänglig. Arbetet bör under 2006 inriktas på att skapa förutsättningar för en gemensam nationell informationsstruktur och enhetliga begrepp och termer. Uppdraget redovisades den 31 augusti 2006 i rapporten Handlingsplan för nationell informationsstruktur.
3.4.3. Smittskyddsinstitutet m.fl.
Sedan några år bedrivs i samverkan mellan Smittskyddsinstitutet, Socialstyrelsen, Läkemedelsverket och företrädare för barnhälsovården ett försöksprojekt om ett nationellt informationssystem för vaccinationer (SVEVAC). Barnavårdscentraler i Region Skåne och i landstingen i Östergötland, Blekinge, Västernorrland, Stockholm och Värmland deltar i projektet.
I informationssystemet ingår bl.a. en vårddatabas, vilken innehåller ett stort antal separata vårdregister. Dessa består av uppgifter som barnavårdscentralerna efter samtycke samlat in om de vaccinationer som ges i enlighet med det nationella barnvaccinationsprogrammet. Enligt uppgift finns det tekniska möjligheter att utveckla vårddatabasen till en gemensam nationell IT-tjänst för vaccinationer, vilket bl.a. skulle kunna innebära en sammanhållen journalföring för vaccinationer.
Smittskyddsinstitutet och landstingens smittskyddsläkare driver vidare ett samprojekt (SmiNet) för nationell och lokal övervakning enligt smittskyddslagen (2004:168). Anmälan enligt smittskyddslagen skall ske parallellt till Smittskyddsinstitutet och smittskyddsläkaren i aktuellt landsting. På den webbsidebaserade tjänsten SmiNet gör behandlande läkare en elektronisk anmälan av smittsamma sjukdomar enligt smittskyddslagen. En elektronisk anmälan som gjorts med användning av en inloggningsfunktion för landsting anslutna till SmiNet går parallellt till smittskyddsläkaren och Smittskyddsinstitutet. De uppgifter som behövs för att kunna logga in med denna funktion kan erhållas av smittskyddsläkaren i landstinget.
4. Central lagstiftning för informationshanteringen inom hälso- och sjukvården
4.1. Inledning
I detta kapitel redovisas den rättsliga reglering som har mer direkt betydelse för informationshanteringen inom hälso- och sjukvården. Informationshanteringen styrs naturligtvis av verksamhetens karaktär och ramar. I viss utsträckning redovisas därför även vissa delar av den lagstiftning som reglerar dessa områden.
4.2. Hälso- och sjukvårdslagen
Hälso- och sjukvårdslagen (1982:763) har karaktären av en ramlag som huvudsakligen innehåller mål och riktlinjer för hälso- och sjukvården.
Med hälso- och sjukvård avses enligt lagen åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador (1 §). Begreppet hälso- och sjukvård omfattar sålunda dels de sjukdomsförebyggande åtgärderna, dels den egentliga sjukvården. Sjukdomsförebyggande åtgärder kan avse både miljöinriktade och individinriktade åtgärder.
Till individinriktade förebyggande åtgärder räknas bl.a. åtgärder för att uppspåra hälsoproblem. Som exempel nämns i förarbetena allmänna och riktade hälsokontroller, vaccinationer, hälsoupplysning samt mödra- och barnhälsovård. Hälso- och sjukvård omfattar bl.a. åtgärder med anledning av kroppsfel och barnsbörd. Abort och sterilisering anses också inrymmas i begreppet hälso- och sjukvård (prop. 1981/82:97 s. 110 f.).
I lagen anges vidare att till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna. I fråga om tandvård finns särskilda bestämmelser.
Hälso- och sjukvården skall enligt lagen bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den skall särskilt vara
av god kvalitet med god hygienisk standard och tillgodose patientens behov av trygghet i vården och behandlingen, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet samt främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen. Vården och behandlingen skall så långt det är möjligt utformas och genomföras i samråd med patienten. (2 a §)
Patienten skall ges individuellt anpassad information om sitt hälsotillstånd och om de metoder för undersökning, vård och behandling som finns. Om informationen inte kan lämnas till patienten, skall den i stället lämnas till en närstående till patienten (2 b §).
Lagen innehåller vidare bestämmelser om bl.a. landstingets och kommunens ansvar för hälso- och sjukvård och om ledningen av hälso- och sjukvård. För en redogörelse av dessa bestämmelser, se avsnitt 2.1.
4.3. Patientjournallagen
I patientjournallagen (1985:562) finns de grundläggande bestämmelserna om all patientjournalföring inom hälso- och sjukvården. Lagen gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller således oberoende av huruvida journaler förs på papper eller elektroniskt.
I 1 § anges att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. En patientjournal är individuell och skall föras för varje enskild patient. Den får inte vara gemensam för flera patienter.
Journalen består, enligt 2 §, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling.
Patientjournallagen innehåller därutöver bestämmelser om patientjournalens innehåll, utformning och hantering (3–7 §§) och vilka yrkeskategorier som är skyldiga att föra journal och på begäran av patienten utfärda intyg om vården (9 och 10 §§). Vidare finns bestämmelser om hur journalhandlingar skall bevaras (8 §), om omhändertagande och återlämnande av patientjournaler (11–14 §§) och om offentlighet och sekretess inom enskild hälso- och sjukvård (16 §). En utförlig redovisning av dessa bestämmelser finns i avsnitt 10.
4.4. Personuppgiftslagen
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter med hänvisning till enskilda personers fri- och rättigheter.
Med anledning av att dataskyddsdirektivet skulle antas, tillsattes i juni 1995 Datalagskommittén. Kommitténs uppgift vara att göra en total revision av datalagen (1973:289) och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39).
Personuppgiftslagen (1998:204), som i stora delar trädde i kraft den 24 oktober 1998, bygger i allt väsentligt på det förslag som lades fram i Datalagskommitténs betänkande.
Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).
Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges också att lagen inte heller skall tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Slutligen gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket). Personuppgiftslagens tillämpningsområde kan dessutom inskränkas genom
särreglering i annan lag eller förordning, exempelvis registerlagstiftningen. Lagen innehåller endast generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för mer speciella områden skulle tillgodoses genom särskild registerlagstiftning. Sådan särreglering får dock givetvis inte stå i strid med dataskyddsdirektivet eller Europarådets dataskyddskonvention.
Personuppgiftslagen innehåller i 3 § en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftslagen omfattar således varken uppgifter om juridiska personer eller uppgifter om avlidna fysiska personer. I förarbetena har anförts att det endast krävs att en fysisk person kan identifieras med hjälp av informationen, inte att den personuppgiftsansvarige själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig (SOU 1997:39 s. 338). Även bild- och ljuduppgifter som kan hänföras till en person kan omfattas. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter (9 §). Personuppgifter skall behandlas bara om det är lagligt. Behandlingen skall alltid ske på ett korrekt sätt och i enlighet med god sed.
Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). En behandling för historiska, statistiska eller
vetenskapliga ändamål skall dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas. De personuppgifter som behandlas skall vara riktiga och, om det är nödvändigt, aktuella.
Alla rimliga åtgärder skall vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.
Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.
I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste föreligga för att en behandling skall vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Föreligger inget samtycke kan en behandling vara tillåten, om den är nödvändig för ett antal uppräknade syften.
Är en behandling nödvändig för att ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, så kan den vara tillåten.
En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade skall kunna skyddas eller för att en arbetsuppgift av allmänt intresse skall kunna utföras.
Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.
Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgifts-
ansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.
Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt (15 §). Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras (16 §). Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation (17 §). Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess (18 §). Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter (19 §).
Regeringen, eller den myndighet som regeringens bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandlad känsliga uppgifter (20 §).
Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 §). Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock besluta om undantag från förbudet.
Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Har uppgifterna samlats in från en annan källa skall den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade krävs inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker 24 §). Finns det i lag eller annan författning särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade.
När information skall lämnas skall den enligt 25 § omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Enligt 26 § är den personuppgiftsansvarige härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut, s.k. registerutdrag.
Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska
eller vetenskapliga ändamål behöver information dock inte lämnas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget för löpande text som inte fått sin slutliga utformning gäller dock inte om personuppgifterna behandlats under längre tid än ett år. Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige (28 §). Den sistnämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.
Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige (31 §). Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekretess, skall dessa tillämpas.
Den personuppgiftsansvarige skall enligt 31 § vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.
Det är enligt 33 § förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skyddsnivå skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.
Det finns en rad undantag från förbudet angivna direkt i personuppgiftslagen (34 §). Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också
tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade skall kunna skyddas.
Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen, eller den myndighet som regeringen bestämmer, får vidare meddela föreskrifter om undantag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Slutligen får regeringen och, efter delegation, Datainspektionen besluta om undantag från förbudet i vissa enskilda fall.
Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten (37 §).
I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet. Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (43–45 §§).
Den personuppgiftsansvarige skall enligt 48 § ersätta den registrerade för skada och kränkning av den personliga integriteten som en
behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Den som uppsåtligen eller av oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse (49 §). Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behandlar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.
Den 1 januari 2007
TPF
1
FPT
träder nya bestämmelser i personuppgifts-
lagen i kraft. De nya bestämmelserna innebär att sådan behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (s.k. ostrukturerat material) undantas från de flesta av personuppgiftslagens hanteringsregler. För sådant material gäller i stället att behandling inte får utföras, om den innebär en kränkning av den registrerades personliga integritet. Bestämmelserna innebär vidare att gärningar som begås av oaktsamhet av normalgraden inte längre är straffbara.
4.5. Vårdregisterlagen
Lagen (1998:544) om vårdregister (vårdregisterlagen) reglerar automatiserad behandling av personuppgifter i vårdregister.
Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 §). Personuppgiftslagen gäller dock inte i den mån avvikande bestämmelser finns i annan lag eller förordning.
Enligt 1 § vårdregisterlagen får den som bedriver vård utföra automatiserad behandling av personuppgifter i vårdregister. Med vård avses vård enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).
1
Se prop. 2005/06:173, bet. 2005/06:KU37, rskr. 2005/06:254 och SFS 2006:398.
Vårdregisterlagen omfattar register som förekommer inom vårdens individinriktade verksamhet. Inom hälso- och sjukvården förs även andra register med mer övergripande syften såsom framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvården. Ett exempel på sådana register är kvalitetsregister. Personuppgiftslagen (1998:204) är tillämplig på behandling av personuppgifter i sådana register. Personuppgifter i ett vårdregister får enligt lagen behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall (3 § vårdregisterlagen). Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall. Personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister får även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning (4 §).
Ett vårdregister får innehålla dels uppgifter som skall ingå i en patientjournal, dels andra uppgifter som antecknas i och för vården av patienter eller som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 §).
Uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården får hämtas till ett vårdregister från andra vårdregister genom samkörning. Dessutom får patientens läkemedelsförteckning samt uppgifter om patientens folkbokföringsadress hämtas till registret genom samkörning (6 §).
Personuppgifter som avses i 13 § eller 21 §personuppgiftslagen får inte användas som sökbegrepp i ett vårdregister. Inte heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (2005:716) användas som sökbegrepp (7 §). Trots detta förbud är det tillåtet att som sökbegrepp använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård.
Direktåtkomst till uppgifter i ett vårdregister får endast den ha som behöver tillgång till uppgifterna för att kunna utföra sitt arbete. Uppgifterna skall behövas för något av de ändamål för vilka ett vårdregister får användas. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande (8 §).
Personuppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling, om de skall användas för ändamål för vilka
vårdregister får föras. Detsamma gäller om uppgifterna skall användas för framställning av statistik, administration på verksamhetsområdet, uppföljning, utvärdering eller kvalitetssäkring eller om uppgifterna skall lämnas på grund av uppgiftsutlämnande som föreskrivs i lag eller förordning (9 §).
I vårdregisterlagen finns därutöver bestämmelser om vilken information om personuppgiftsbehandlingen som måste lämnas till en registrerad (11 §).
När det gäller patientjournalhandlingar som ingår i ett vårdregister finns hänvisningar till bestämmelser i patientjournallagen om bevarande och gallring, om begränsningar i fråga om utlämnande av personuppgifter och om begränsningar i skyldigheten att vidta rättelse m.m. Hänvisningar finns också till sekretesslagen och, i fråga om rättelse och skadestånd, till personuppgiftslagen.
4.6. Hälsodataregisterlagen
Hälsodataregister är personregister som förs av central förvaltningsmyndighet inom hälso- och sjukvården för ändamål av mer övergripande karaktär som inte syftar till användning för den individinriktade vården. Genom lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) ges en central förvaltningsmyndighet inom hälso- och sjukvården möjlighet att föra automatiserad behandling av personuppgifter i hälsodataregister (1 §). Med central förvaltningsmyndighet inom hälso- och sjukvården avses myndighet som enligt sin instruktion har ett ansvar för en eller flera verksamheter inom området.
Hälsodataregisterlagen är, liksom vårdregisterlagen, en speciallag som kompletterar men inte ersätter personuppgiftslagen.
Enligt 3 § hälsodataregisterlagen får personuppgifter i ett hälsodataregister behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, samt forskning och epidemiologiska undersökningar.
Ett hälsodataregister får endast innehålla uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas (4 §).
Den som bedriver verksamhet inom hälso- och sjukvården åläggs i lagen en skyldighet att lämna uppgifter till ett hälsodataregister för de ändamål som registret har (6 §).
Hälsodataregisterlagen innebär att det under vissa förutsättningar är tillåtet att föra hälsodataregister. I lagen preciseras dock inte vissa
specifika ändamål för vilka behandling får ske. Detta sker i stället genom föreskrifter som regeringen meddelar med stöd av lagen. Enligt bemyndiganden i lagen får regeringen meddela föreskrifter om bl.a. vilka myndigheter som får föra hälsodataregister samt begränsningar av de angivna ändamålen och av de uppgifter som ett hälsodataregister får innehålla. Regeringen har i anledning av dessa bemyndiganden utfärdat förordningen (2001:707) om patientregister hos Socialstyrelsen, förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen, förordningen (2001:709) om cancerregister hos Socialstyrelsen förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen samt förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården. Se även 4 kap. 4 § läkemedelsförordningen (2006:272).
4.7. Sekretesslagen
Uppgifter inom den allmänna hälso- och sjukvården omfattas av sekretesslagens (1980:100) bestämmelser.
Sekretess gäller i förhållande till såväl enskilda (fysiska eller juridiska personer) som andra myndigheter. Uppgifter som skyddas av sekretess får inte lämnas från en myndighet till en enskild eller annan myndighet utan stöd i sekretesslagen. Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.
Enligt 7 kap. 1 c § första stycket gäller sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om enskilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit och presumtionen är alltså för sekretess.
I 7 kap. 1 c § sista stycket första meningen finns ett undantag från den annars gällande presumtionen för sekretess. Där föreskrivs att en myndighet inom ett landsting eller en kommun som bedriver hälso- och sjukvård får lämna uppgifter till en annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet med tillämpning av ett rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. Sekretess gäller
endast om det kan antas att den enskilde eller dennes närstående lider men om uppgiften röjs.
Sekretessen enligt 1 c § gäller också i förhållande till den vård- och behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne (7 kap. 3 §).
Sekretess gäller inom hälso- och sjukvården och i annan medicinsk verksamhet samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs (7 kap. 6 §).
I sekretesslagen finns särskilda undantagsbestämmelser som innebär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Dessa bestämmelser berörs närmare i avsnitt 11.5.1.
Offentlighets- och sekretesskommittén (OSEK) har i sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) lämnat förslag till en ny sekretesslag. Flera av kommitténs förslag har betydelse för uppgiftsutbytet inom hälso- och sjukvården eller mellan hälso- och sjukvården och andra verksamheter. Dessa förslag redovisas senare i detta betänkande i anslutning till frågeställningar som rör vårt uppdrag, se t.ex. avsnitt 11.5.2, 12.3 och 14.3.
OSEK:s förslag bereds för närvarande inom Regeringskansliet.
4.8. Lagen om yrkesverksamhet på hälso- och sjukvårdens område
Lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område innehåller bestämmelser om skyldigheter för hälso- och sjukvårdspersonal. Därutöver finns bl.a. behörighets- och legitimationsregler samt bestämmelser om disciplinpåföljd m.m., Hälso- och sjukvårdens ansvarsnämnd (HSAN) och Socialstyrelsens tillsyn. Hälso- och sjukvårdspersonal är en benämning på den personal som fullgör sjukvårdsuppgifter i allmän eller enskild hälso- och sjukvård och tandvård. Till hälso- och sjukvårdspersonalen hör enligt lagen alla som har legitimation för yrke inom hälso- och sjukvården. Dessa är bl.a. läkare, sjukgymnaster, tandläkare och tandhygienister. Lagen är alltså tillämplig inom såväl allmän som enskild hälso- och sjukvård.
Med hälso- och sjukvård enligt nämnda lag avses sådan verksamhet som omfattas av hälso- och sjukvårdslagen, tandvårdslagen, lagen (2001:499) om omskärelse av pojkar samt verksamhet inom detaljhandel med läkemedel (1 kap. 2 §).
Med vårdgivare avses i lagen fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård (1 kap. 3 §).
Med hälso- och sjukvårdspersonal avses bl.a. den som har legitimation för yrke inom hälso- och sjukvården, personal som är verksam vid sjukhus och andra vårdinrättningar och som medverkar i hälso- och sjukvård av patienter och den som i annat fall vid hälso- och sjukvård av patienter biträder en legitimerad yrkesutövare (1 kap. 4 §).
I 2 kap. finns bestämmelser om skyldigheter för hälso- och sjukvårdspersonal. Den som tillhör hälso- och sjukvårdspersonalen skall utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient skall ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården skall så långt som möjligt utformas och genomföras i samråd med patienten. Patienten skall visas omtanke och respekt (1 §).
Vidare skall den som har ansvaret för hälso- och sjukvården av en patient se till att patienten ges individuellt anpassad information om sitt hälsotillstånd och om de metoder för undersökning, vård och behandling som finns. Om informationen inte kan lämnas till patienten skall den i stället lämnas till en närstående till patienten (2 §). När det finns flera behandlingsalternativ som står i överensstämmelse med vetenskap och beprövad erfarenhet skall den som har ansvaret för hälso- och sjukvården av en patient medverka till att patienten ges möjlighet att välja det alternativ som han eller hon föredrar (2 a §).
Den som tillhör hälso- och sjukvårdspersonalen bär själv ansvaret för hur han eller hon fullgör sina arbetsuppgifter (5 §).
Den som tillhör hälso- och sjukvårdspersonalen får överlåta en arbetsuppgift till någon annan endast när det är förenligt med kravet på en god och säker vård. Den som överlåter en arbetsuppgift till någon annan svarar för att denne har förutsättningar att fullgöra uppgiften (6 §).
Lagen innehåller även särskilda bestämmelser om tystnadsplikt inom enskild hälso- och sjukvård. Enligt 2 kap. 8 § får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra
personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Tystnadsplikt som gäller för en uppgift om en patients hälsotillstånd gäller även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.
Vidare får, enligt 2 kap. 9 §, den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja en uppgift från en enskild om någon annan persons hälsotillstånd eller andra personliga förhållanden, om det kan antas att det finns en risk för att den som lämnat uppgiften eller någon annan närstående till uppgiftslämnaren utsätts för våld eller annat allvarligt men om uppgiften röjs. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
Lagen innehåller även bestämmelser om Socialstyrelsens tillsyn över hälso- och sjukvården och dess personal (6 kap.). Tillsynen skall främst syfta till att förebygga skador och eliminera risker i hälso- och sjukvården. Socialstyrelsen skall genom sin tillsyn stödja och granska verksamheten och hälso- och sjukvårdspersonalens åtgärder (3 §).
5. En internationell utblick
5.1. WHO
WHO (World Health Assembly) har antagit en resolution om eHealth eller e-hälsa (WHA58.28, Maj 2005). E-hälsa är ett begrepp för informations- och kommunikationsteknikens tillämpning inom alla funktioner som påverkar hälso- och sjukvårdssektorn. Det kan handla om nätverk för hälso- och sjukvårdsinformation, elektroniska patientjournaler, telemedicin, kroppsburna och bärbara övervakningssystem samt hälso- och sjukvårdsportaler. I resolutionen noteras bl.a. den positiva inverkan som framsteg inom informationsteknologin kan få för hälso- och sjukvårdstjänster, folkhälsa, forskning och hälsofrämjande åtgärder i såväl länder med hög levnadsstandard som länder med låg levnadsstandard. Vidare fastslås att e-hälsa är ett kostnadseffektivt och säkert sätt att använda informationsteknologi för ändamål som hälso- och sjukvård, hälsoövervakning, kunskapsutveckling och forskning. Medlemsstaterna uppmanas i resolutionen att överväga att utarbeta långsiktiga strategier för utveckling och implementering av e-hälsotjänster. Strategierna skall bl.a. omfatta uppbyggnad av lämplig legal reglering och infrastruktur.
5.2. EU
Även inom EU bedrivs arbete på området eHealth eller e-hälsa.
Den 30 april 2004 presenterade Europeiska kommissionen en handlingsplan för ett europeiskt område för e-hälsa [E-hälsovård – bättre hälso- och sjukvård för Europas medborgare: Handlingsplan för ett europeiskt område för E-hälsovård SEK (2004:539)]. Denna innehåller en tidsplan och pekar ut de områden som kräver medlemsstaternas omedelbara uppmärksamhet. Ett exempel på en åtgärd som skall vidtas var att varje medlemsstat före utgången av år 2005 skall utarbeta en nationell eller regional plan för e-hälsa. Detta har Sverige
gjort genom den i avsnitt 3.2 beskrivna nationella IT-strategin för vård och omsorg. Ett annat exempel är att medlemsstaterna före utgången av år 2006 i samarbete med kommissionen skulle fastställa en gemensam syn på patientidentifikation samt kartlägga och ange interoperabilitetsstandarder för hälso- och sjukvårdsuppgifter och elektroniska patientjournaler.
För att närmare studera potentiella vinster och konsekvenser av en ökad patientrörlighet inom Europa tog EU:s hälsoministrar initiativ till en högnivåprocess för reflektion kring dessa frågor. Bland annat etablerades en permanent högnivågrupp High Level Group on Health Services and Medical Care under kommissionens generaldirektorat för hälsofrågor (DG SANCO) för att stödja europeiskt samarbete på området. I anslutning till högnivågruppen har arbetsgruppen Working Group on Information and eHealth inrättats. Huvudsyftet med gruppens arbete är att vara ett stöd i medlemsstaternas arbete med att implementera IT-lösningar i de nationella sjukvårdssystemen. Genom att föreslå en ökad koordinering av existerande samverkansprocesser och forskning på området menar gruppen att det europeiska erfarenhetsutbytet på området kan ske mer kraftfullt och fokuserat än vad som hittills varit fallet. Från och med sommaren 2006 har Generaldirektoratet för informationssamhället (DG INFSO) övertagit huvudmannaskapet för det europeiska samarbetet för eHealth genom bildandet av kommissionsarbetsgruppen i 2010 sub-group on eHealth i vilken Sverige representeras av Socialdepartementet.
Europeiska kommissionen har även tagit initiativet att tillsätta en utredning (Study in Legal and Regulatory Aspects of eHealth – Legally eHealth) med uppdrag att bidra till genomförandet av handlingsplanen genom klargörande av de rättsliga förutsättningarna för utvecklingen av e-hälsa. Arbetet i utredningen inleddes den 1 januari 2006 och skall pågå fram till kommande årsskifte.
5.3. Internationella riktlinjer för persondataskydd
Europarådet utfärdade den 28 januari 1981 en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (Convention for the protection of individuals with regard to automatic processing of personal data, European treaty Series no. 108). Till konventionen har utarbetats ett tilläggsprotokoll om tillsynsmyndigheter och flödet av personuppgifter över gränserna. Konventionen får bl.a. betydelse i Sverige på så sätt att det enligt personuppgiftslagen
är tillåtet att föra över personuppgifter för användning i en stat som godkänt konventionen. I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. I fråga om hälso- och sjukvårdsområdet torde det främst vara Recommendation No. R (97) 5 of the Committe of Ministers to Member States on the protection of medical data som bör nämnas.
Även Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer för integritetsskydd och persondataflöde.
Den s.k. Berlin-gruppen [International Working Group on Data Protection in Telecommunications (IWGDPT)] har sedan 1983 antagit ett antal rekommendationer ("Common Positions" och "Working Papers") som syftar till att förbättra integritetsskyddet vid telekommunikation. I gruppen finns representanter för myndigheter (Data Protection Authorities), internationella organisationer samt forskare från hela världen. Sedan början av 1990-talet har gruppen särskilt inriktat sitt arbete på integritetsskyddet på Internet. Gruppen har antagit en rekommendation som avser nätverksbaserad överföring av journaluppgifter m.m. [Online Availability of Electronic Health Records (Washington D.C., 06./07.04.2006)].
5.4. Danmark
I Danmark finns sedan år 2003 en nationell IT-strategi för hälso- och sjukvården – National IT-strategi for sundhedsvæsenet 2003–2007. Denna ersatte den tidigare nationella strategin för IT i sjukhusverksamheten 2000–2002. Den förstnämnda strategin innehåller ett antal visioner och målsättningar för informationsanvändningen i hälso- och sjukvården. Den beskriver även ett antal initiativ som måste tas.
Dessa initiativ rör bl.a. utveckling och införande av elektroniska patientjournaler (EPJ) inom den danska hälso- och sjukvården. Målsättningen anges vara en elektronisk enhetsjournal; en patientjournal där patientens all vårddokumentation samlas. Tanken är att inrätta en nationell databas med patientuppgifter. När patienten uppsöker hälso- och sjukvården tankar läkaren ned uppgifterna i det lokala systemet. Dokumentationen görs i det lokala systemet och tankas sedan tillbaka till den nationella databasen.
Få att uppnå detta mål bedrivs det nationella projektet Grundstruktur for Elektroniske PatientJournaler (G-EPJ). G-EPJ är en
nationell standard för begrepp i elektroniska patientjournaler och syftar till att säkra en gemensam struktur för kommunikation mellan EPJ-system och mellan EPJ-system och andra informationssystem inom hälso- och sjukvården.. Projektet skall enligt IT-strategin skapa underlag för en koordinerad utveckling och implementering av elektroniska patientjournaler baserade på denna nationella standard.
I enlighet med IT-strategin har Medicinprofilen inrättats. Medicinprofilen är en elektronisk översikt över patientens uthämtade receptbelagda läkemedel de senaste två åren. Patienten och den läkare som har en aktuell patientrelation med patienten har tillgång till denna, liksom en farmaceut om patienten samtycker till det. Patienten får tillgång till sin medicinprofil via inloggning på hälsoportalen Sundhed.dk. Patienten har möjlighet att se vem som har sökt efter upplysningar i hans eller hennes medicinprofil.
Enskilda kan också sedan september 2005 via Internet ta del av vissa uppgifter om sina sjukhusbesök, t.ex. diagnoser och behandling. Uppgifterna finns registrerade i Sundhedsstyrelsens Landspatientregister. För att få tillgång till uppgifterna krävs att den enskilde har en digital signatur. Målsättningen enligt IT-strategin är att enskilda även skall få möjlighet att få tillgång till sina egna journaler. Landspatientregistret innehåller uppgifter om slutenvård från år 1977 och om akutvård och öppenvård sedan år 1995.
I lov om patienters retsstilling, som trädde i kraft den 1 oktober 1998, finns grundläggande bestämmelser om förhållandet mellan patienten och hälso- och sjukvårdspersonalen. Lagen innehåller bl.a. bestämmelser om tystnadsplikt och om utlämnande av uppgifter om patienter. Enligt huvudregeln krävs patientens samtycke för att uppgifter om hans eller hennes hälsotillstånd m.m. skall få lämnas ut till annan hälso- och sjukvårdspersonal i samband med vård av patienten. Uppgifter kan också lämnas ut utan patientens samtycke, t.ex. om det är nödvändigt för vård och behandling av patienten och utlämnandet sker med hänsyn till patientens intresse och behov. Patienten har dock rätt att motsätta sig utlämnandet. Bestämmelserna anses inte hindra pågående utvecklingsarbete. Lov om patienters retsstilling ersätts den 1 januari 2007 av den nya sundhetsloven (Lov nr 546 af 24/06/2005), som då träder i kraft i sina huvuddelar. Sundhetsloven kan närmast beskrivas som en hälso- och sjukvårdsbalk och innehåller följaktligen all på området aktuell lagstiftning. I stor utsträckning har sundhetsloven karaktär av ramlagstiftning. Avsikten är att regeringen och, i vissa fall, myndigheter inom hälso- och sjukvårdsområdet med stöd av lagen skall meddela föreskrifter
som mer i detalj reglerar olika områden. I avsnitt XIV finns bestämmelser om kvalitetsutveckling, forskning, inrapportering av uppgifter till centrala myndigheter och patientsäkerhet. I lagen anges vissa åligganden för offentliga vårdgivare att bedriva kvalitetsutveckling och medverka till bl.a. forskning. Även privata vårdgivare kan åläggas att bedriva sådan verksamhet. Vidare finns vissa bestämmelser om skyldighet för vårdgivare m.fl. att inrapportera uppgifter om verksamheten till centrala hälso- och sjukvårdsmyndigheter. Inrikes- och hälsoministern kan utfärda föreskrifter om att vårdgivare m.fl. oberoende av samtycke från den registrerade skall inrapportera vissa uppgifter om hälsa till kliniska kvalitetsdatabaser (kvalitetsregister) som en offentlig myndighet är ansvarig för. Med en patients muntliga samtycke kan även uppgifter i det s.k. Landspatientregisteret om undersökningar, diagnoser och behandlingar vidarebefordras till den behandlande läkaren för ändamålet att behandla den aktuella patienten. I sammanhanget kan även nämnas att vårdgivare har skyldighet att inrapportera incidenter för ändamålet att förbättra patientsäkerheten.
5.5. Norge
I Norge har det funnits nationella IT-strategier för vård och omsorg sedan år 1997 – Mer helse for hver bIT, handlingsplan 1997–2000 och Si@!, statlig tiltaksplan 2001–2003. Sistnämnda strategi fokuserade på elektronisk kommunikation inom vård och omsorg, telemedicin, ett nationellt hälso- och sjukvårdsnät och offentlig information. Det nationella hälso- och sjukvårdsnätet infördes år 2003.
Strategin för år 2004–2007, S@mspill 2007 – Elektronisk samarbeid i helse- och socialsektoren, har koncentrerats till satsningar på två områden. Den första satsningen gäller förbättring av informationsöverföringen inom vård och omsorg. Det förutsätter enligt strategin arbete med bl.a. infrastruktur, informationsstruktur, elektroniska patientjournaler och utväxlande av meddelanden. Den andra satsningen avser inkludering av nya aktörer, t.ex. kommunerna, i det elektroniska samarbetet inom sektorn. I strategin anges att det behövs en genomgång av gällande rätt för att beskriva olika alternativa lösningar, båda sådana som kan genomföras inom ramen för gällande rätt och sådana som kräver lagändringar.
Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) omfattas av EES-avtalet och Norge har genomfört direktivet genom personopplysningsloven, som liksom personuppgiftslagen (1998:204) även gäller behandling av personuppgifter om hälsa.
Vid sidan av personupplysningsloven finns dock även en särlagstiftning för hälso- och sjukvårdsområdet i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven). Denna lag reglerar liksom personuppgiftslagen såväl automatiserad som viss manuell behandling av "helseopplysninger" (uppgifter om hälsa) inom ”helseforvaltningen og helsetjenesten” (hälso- och sjukvården) i de fall ändamålen med behandlingen är att ge effektiv och relevant hälsovård eller att uppnå kunskaper med anknytning till administration eller forskning. Om uppgifter om hälsa behandlas för andra ändamål, regleras detta inte av helseregisterloven, men väl av personopplysningsloven. Utrycket "helseforvaltningen og helsetjenesten" omfattar alla de institutioner som har uppgifter enligt hälso- och sjukvårdslagstiftningen, både offentliga och privata aktörer.
I lagen finns bl.a. regler om insamling av uppgifter om hälsa och regler om upprättande av hälsoregister. Vidare innehåller lagen allmänna bestämmelser om behandling av uppgifter om hälsa, bestämmelser om bl.a. datasäkerhet, samkörning och internkontroll, bestämmelser om utlämnande samt bestämmelser om de registrerades rättigheter såsom rätt till insyn, information, rättelse och utplåning.
Lagen begränsar möjligheterna att inrätta nya lokala, regionala eller nationella hälsoregister. För att ett sådant register skall få inrättas krävs bestämmelser om detta i lag eller i en föreskrift som meddelas av regeringen.
Det krävs som huvudregel samtycke från den registrerade för att sådan automatiserad behandling av personuppgifter om henne eller honom skall få äga rum, om inte registren endast skall innehålla avidentifierade uppgifter eller pseudonymer. I lagen anges dock vissa register i vilka uppgifter såsom namn, födelsenummer och andra identifieringsuppgifter kan behandlas utan samtycke från den registrerade, om det är nödvändigt med hänsyn till ändamålen för registren.
I lagen ges regeringen rätt att meddela föreskrifter på en rad områden. I anslutning till lagen har det även meddelats föreskrifter om åtta särskilda hälsoregister som är nationella och av vilka vissa är motsvarigheter till de svenska hälsodataregistren, t.ex. Dødsårsaksregisteret, Kreftregisteret eller Medisinsk fødselsregister, medan
andra register saknar motsvarighet i Sverige, t.ex. Tuberkuloseregisteret, System for vaksinasjonskontroll (SYSVAK) eller Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM). En föreskrift avser det norska Reseptregisteret och en föreskrift avser Meldingssystem for smittsomme sykdommer og om varsling om smittsomme sykdommer (MSIS); det sistnämnda systemet kan sägas vara en motsvarighet till det i avsnitt 3.4.3 nämnda projektet SmiNet.
När det gäller informationshanteringen i den individinriktade patientverksamheten inom hälso- och sjukvården regleras den i Norge även av lov 2 juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven). Helsepersonelloven innehåller bl.a. bestämmelser om hälso- och sjukvårdspersonalens tystnadsplikt och olika slags undantag från denna plikt. Undantagen avser dels bestämmelser om ett flertal skyldigheter att lämna uppgifter för vissa ändamål eller till vissa mottagare, dels bestämmelser om när uppgifter om patienter m.fl. får lämnas till medarbetare eller andra mottagare inom eller utom den egna organisationen. Helsepersonelloven innehåller även bestämmelser om skyldighet att föra patientjournal; bestämmelser som i huvudsak motsvarar den svenska patientjournallagen (1985:562). Helsepersonelloven fylls ut av ett stort antal föreskrifter som närmare reglerar olika förhållanden inom hälso- och sjukvården. En central föreskrift är foreskrift av 21 december 2000 nr. 1385 om pasientjournal. I den regleras bl.a. frågor om journalsystem, journalansvar, journalens innehåll, skydd för personlig integritet m.m.
Slutligen skall nämnas att liksom i Danmark finns i Norge en lag om patienters rättigheter, lov av 2 juli 1999 nr. 63 om pasientrettigheter (patientrettighetsloven). Sistnämnd lag reglerar bl.a. frågor om rätt till sjukvård, rätt att ta del av sin journal, rätt att få information och att skyddas mot spridning av personuppgifter. Av övriga frågor kan nämnas att lagen också innehåller bestämmelser om hantering av inhämtande av samtycke i hälso- och sjukvården, t.ex. i fråga om barn och ungdomar.
5.6. England
National Health Service (NHS) i England satsar stora summor på att skapa en nationell, enhetlig IT-infrastruktur för hälso- och sjukvården utifrån strategin NHS Connecting for Health. Strategin är inriktad på livslång, elektronisk vårddokumentation för alla, med
dygnet runt on-line tillgång till patientjournaler och information om bästa kliniska arbetssätt för alla NHS-kliniker. För att införa det nationella programmet lokalt har landet delats in i fem ”cluster”, vart och ett omfattande fem, sex eller sju Regional Health Authorities. Programmet är kostnadsberäknat till sex miljarder pund (85 miljarder kronor). I december 2010 skall åtgärder i enlighet med strategin vara helt genomförda.
VÅRA ÖVERVÄGANDEN M.M.
6. Några allmänna utgångspunkter
6.1. Generell lagstiftning eller speciallösningar?
Vi har fått det övergripande uppdraget att se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området. Häri ingår bl.a. en översyn av patientjournallagen (1985:562) och lagen (1998:544) om vårdregister samt frågor om en för flera vårdgivare sammanhållen patientjournal för varje patient och om nationella kvalitetsregister. Även sekretessfrågor med anledning av dessa uppgifter ingår i vårt uppdrag.
Som framgått av avsnitt 2 är ansvaret för hälso- och sjukvården delat mellan staten som står för den övergripande hälso- och sjukvårdspolitiken och landstingen som ansvarar för och organiserar hälso- och sjukvården, inklusive tandvården, inom sina respektive geografiska områden. Kommunerna har dock ett huvudmannaansvar för viss hälso- och sjukvård till äldre och funktionshindrade. Detsamma gäller staten som ansvarar för och bedriver hälso- och sjukvård i viss begränsad omfattning och med anknytning till annan verksamhet, t.ex. inom kriminalvården, högskolan och försvaret. Skolhuvudmännen, normalt en kommun eller en fristående skola, ansvarar för hälso- och sjukvård inom skolhälsovården.
Vid sidan om dessa huvudmän har andelen privata vårdgivare inom den offentligt finansierade hälso- och sjukvården stadigt ökat under de senare decennierna och står nu för ca tio procent av de totala vårdkostnaderna. Vissa privata vårdgivare bedriver hälso- och sjukvård som är helt privatfinansierad, t.ex. en del psykoterapeuter, optiker, plastikkirurger m.fl.
Vårt uppdrag är inte begränsat till visst slags hälso- och sjukvård eller vissa av de nämnda huvudmännens eller andra vårdgivares verksamhet.
Det säger sig därmed självt att en nödvändig utgångspunkt för vårt arbete är att våra författningsförslag måste ha en generell inrikt-
ning för att kunna tillämpas inom hela den stora och brokiga sektor som utgör hälso- och sjukvård. Samma regler skall kunna tillämpas både i den komplexa informationshanteringen vid ett stort regionsjukhus och i den mer småskaliga dito hos en privatpraktiserande tandläkare med bara en anställd tandsköterska.
Det är också en utgångspunkt att våra förslag skall vara flexibla så till vida att de i möjligaste mån kommer att vara oberoende av förändringar på grund av sådana nya faktiska, organisatoriska eller rättsliga förutsättningar som ständigt påverkar hälso- och sjukvårdens utveckling. Likaså är det vår ambition att våra förslag inte skall vara beroende av att vissa tekniska lösningar används.
Det sagda innebär att våra författningsförslag i huvudsak har karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Som kommer att framgå av våra lagförslag i det följande föreslår vi att närmare reglering i vissa generella frågor skall kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. En sådan författningsteknik är fördelaktig i det avseendet att detaljregler, som sannolikt behöver ändras emellanåt, inte måste underställas riksdagens prövning. De från patientsäkerhets- och integritetssynpunkt viktigaste principerna bör dock regleras i lag.
Med den generella och övergripande inriktning som vårt uppdrag getts, har vi inte haft möjlighet att närmare granska och beakta de särskilda förhållanden och behov som kan finnas inom varje medicinsk specialitet eller liknande avgränsade specialområden inom hälso- och sjukvården. Detsamma gäller behov av särlösningar för särskilda patientgrupper. Vi utesluter dock inte att det på något eller några områden kan visa sig uppstå behov av att se över och överväga reglering som avviker från våra generella förslag i ett eller annat avseende. Det bör enligt vår mening dock ske i särskild ordning.
6.2. Vårt arbete och parallellt arbete rörande hälso- och sjukvårdens framtida IT-användning
Parallellt med vårt arbete bedrivs på olika nivåer ett intensivt arbete med att finna lämpliga former att hantera de kvalitativa, strukturella och finansiella utmaningar som hälso- och sjukvården totalt sett står inför. Delar av detta arbete har beskrivits kortfattat i avsnitt 2 och 3.
En utvecklad och samordnad användning av IT-stöd har i detta arbete alltmer betonats som ett kraftfullt verktyg att möta allmänhetens krav och förväntningar på en hälso- och sjukvård som är tillgänglig, av hög kvalitet, patientsäker och effektiv. I den Nationella IT-strategin för vård och omsorg, se avsnitt 3.2, har Socialdepartementet, Sveriges Kommuner och landsting, Socialstyrelsen, Läkemedelsverket, Apoteket AB och Carelink formulerat ett antal mål och visioner för framtidens IT i vård och omsorg, dvs. inte bara inom hälso- och sjukvården utan även i viss socialtjänst rörande bl.a. äldre och funktionshindrade. Ett centralt mål är att dokumenterade uppgifter om en patient, patientdata, skall kunna följa patienten och vara elektroniskt tillgängliga över organisationsgränser. Visionen är att patientdata skall finnas åtkomlig med hjälp av IT oavsett när och var inom hälso- och sjukvården dokumentationen skett och oavsett när och var en senare vårdkontakt uppstår.
Vi ser vårt arbete som en del av den process som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Vi är också i huvudsak positiva till strävandena för hälso- och sjukvårdens IT-utveckling. Samtidigt konstaterar vi att mycket av det som nu diskuteras är just mål och visioner. Även om våra förslag syftar till att vara framåtblickande och öppna för nya sätt att arbeta och hantera information, har vi fått anpassa våra förslag till dagens konkreta strukturer och förutsättningar för informationshanteringen vilka vi bedömer kommer att gälla under en överblickbar framtid.
Förutom att vara en nödvändighet ser vi även ett egenvärde i att den sedan länge gällande rättsliga ordningen för dokumentering och hantering av uppgifter om patienter inte tvärt och genomgripande förändras i en omfattning som avser hela den komplexa hälso- och sjukvården och som därmed berör så gott som hela landets befolkning. En av våra utgångspunkter är alltså att det är viktigt att gå stegvis fram. Våra förslag skall därvid ses som ett eller några steg i den riktning som bl.a. pekats ut i våra direktiv och i den nyss nämnda Nationella IT-strategin. Enligt vår mening är det av största vikt att ytterligare steg övervägs först efter utvärderingar och analyser av de erfarenheter som vinns efter en tids full drift av sådana mer storskaliga informationssystem som är i startgroparna men som i dag drivs bara i begränsade projektformer. Först då kan förändringar motiveras utifrån närmare kunskap om vilka konsekvenser som olika slags lösningar och system genererat för patientsäkerhet, integritet,
effektivitet och andra viktiga intressen för hälso- och sjukvårdens informationshantering.
6.3. Patientsäkerhet kontra patientintegritet?
Under vårt arbete har flera centrala aktörer på området gjort gällande att vi i dag har en lagstiftning som låter patientintegriteten väga tyngre än patientsäkerheten. Enligt denna uppfattning tycks patientsäkerhet och patientintegritet befinna sig i ett statiskt motsatsförhållande enligt en linjär skala som innebär att vi får mer patientsäkerhet med mindre integritetsskydd och, omvänt, mindre patientsäkerhet med mer integritetsskydd. Konsekvensen av den uppfattningen torde vara att det nu handlar om att flytta den rättspolitiska positionen mellan de motstående intressena i en mer patientsäker riktning. Detta skulle i så fall ske genom att undanröja en mängd rättsliga hinder för breddad elektronisk tillgänglighet till uppgifter om patienter mellan olika vårdgivare inom hälso- och sjukvården, hinder som syftar till att garantera enskilda ett skydd för den personliga integriteten. Ibland hävdas också att detta är vad patienterna förväntar sig och önskar.
Självklart kan integritetsskydd och patientsäkerhet ibland hamna i ett motsatsförhållande. Samtidigt anser vi att den uppmålade bilden av ett statiskt motsatsförhållande är en vilseledande förenkling, som vi inte velat ta som utgångspunkt för vårt arbete. Vi har alltså inte tolkat vårt uppdrag som att i huvudsak handla om att undanröja en rad rättsliga hinder.
Den centrala utgångspunkten för vårt arbete är i stället att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter, menar vi, att man inte överger principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet bara därför att tekniken medger nya sätt att hantera uppgifter. I förlängningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.
Allmänhetens förtroende för hälso- och sjukvårdens informationshantering är i dag generellt sett starkt. Det framgår av bl.a. en större enkätundersökning som vi låtit Statistiska centralbyrån utföra år 2005. Samtidigt visar enkätundersökningen upp en ganska splittrad bild av förväntningarna hos allmänheten inför förändringar i hälso- och sjukvårdens informationshantering. För vissa är ett strikt integritetsskydd av största vikt och de är oroade över tanken på en ökad elektronisk tillgänglighet bland hälso- och sjukvårdspersonal
till uppgifter om dem medan andra inte känner någon oro över en sådan utveckling. Vi har sett det som oerhört väsentligt för förtroendet för hälso- och sjukvården att den mer eller mindre starka oro som vissa känner inför förändringar i informationshantering tas på allvar.
Vad utredningsarbetet konkret handlar om är därför att skapa rättsliga garantier för att nya möjligheter att använda IT inom hälso- och sjukvården – bl.a. i fråga om breddad elektronisk tillgänglighet till information om patienten inom hälso- och sjukvården – inte på ett oacceptabelt sätt inkräktar på patientens personliga integritet. En utgångspunkt i det arbetet är att den enskilda patientens inställning i fråga om spridningen av uppgifter om honom eller henne inom hälso- och sjukvårdssektorn så långt möjligt skall respekteras. Att allmänheten kräver ett sådant inflytande för patienten framgår av den nyss nämnda enkätundersökningen. Denna bild bekräftas också av hearingar som vi haft med olika patientorganisationer. Ett patientinflytande över spridningen i förening med andra integritetsskyddande åtgärder behövs för att det goda förtroendet för hälso- och sjukvården skall bestå och helst förstärkas.
Samtidigt är det vår utgångspunkt att det är ett viktigt allmänintresse att vårdgivare på ett rationellt och effektivt sätt kan använda IT för att fullgöra de uppgifter som åligger dem. Våra förslag avspeglar således den avvägning som vi funnit rimlig i de fall en konflikt uppstår mellan samhällets behov eller andra intressen kontra patientens berättigade anspråk på skydd för sin personliga integritet.
6.4. Några avgränsningsfrågor
Våra direktiv är vida och allmänt hållna. De frågor som vi skall ta upp är ofta inte närmare avgränsade. Vi har därför när det gäller mer specifika frågor, som inte har så nära beröring med kärnfrågorna i vårt utredningsuppdrag, avstått från djupare analys av dessa. Det innebär att några frågor – som vi i och för sig tycker är förtjänta av en mer ingående analys – berörs ganska översiktligt. En sådan fråga är barns och ungdomars ställning i hälso- och sjukvården. Av särskilt intresse i det sammanhanget är underårigas självbestämmande och integritetsskydd vid kontakter med hälso- och sjukvården. Underårigas eget inflytande över journalhanteringen i takt med tilltagande mognad kan ge upphov till svåra avvägningsproblem. Hur skall den unges mognadsgrad bedömas och vilken betydelse i sammanhanget har karaktären på uppgifterna om den unge? Även om frågor av
detta slag ofta aktualiseras inom hälso- och sjukvården, har vi inte ansett det vara vårt uppdrag att närmare penetrera dessa. En annan komplex fråga rör tillgången till och användningen av vårddokumentation i utbildningen av blivande hälso- och sjukvårdspersonal. Det har sagts oss att praxisen på området skiljer sig från vad gällande rätt föreskriver. Hur regelverket närmare tillämpas inom hälso- och sjukvården har vi dock avstått från att skärskåda. En ytterligare komplicerad fråga, som vi också ansett som alltför perifer i förhållande till våra direktiv för att närmare analyseras, är vilken sekretess som gäller för uppgifter som används för forskning inom hälso- och sjukvården. Forskningen utgör i sekretesslagens (1980:100) mening en självständig verksamhetsgren även när den bedrivs av vårdgivarens personal. Rättsläget i dag såvitt gäller frågan vilka sekretessbestämmelser som är tillämpliga i forskningsverksamheten anses av många som oklart. När det gäller frågor om forskningssekretess, se från senare tid bl.a. Elisabeth Rynning, Patientuppgifter som forskningsresurs – om integritetsskydd och intresseavvägningar, Förvaltningsrättslig tidskrift 2003 s. 95 ff. och Integritetsskyddet i forskningen – en känslig historia, Förvaltningsrättslig tidskrift 2005 s. 459
7. En ny lag
7.1. Vårt uppdrag
Vi har fått det övergripande uppdraget att se över den nuvarande regleringen av behandlingen av personuppgifter inom hälso- och sjukvården och lämna förslag till en väl fungerande och sammanhängande reglering av området.
7.2. Dagens splittrade lagstiftning
Bestämmelser av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter finns i dag i ett flertal författningar. De som är av direkt betydelse för hanteringen är framförallt patientjournallagen (1985:562), lagen (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagen (1998:204). För den allmänna hälso- och sjukvården gäller vidare tryckfrihetsförordningens bestämmelser om allmänna handlingar och handlingsoffentlighet, arkivlagens (1990:782) bestämmelser om bevarande och gallring av allmänna handlingar och sekretesslagens (1980:100) bestämmelser om sekretess och tystnadsplikt. Delvis motsvarande bestämmelser om tystnadsplikt inom den enskilda hälso- och sjukvården finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Även hälso- och sjukvårdslagen (1982:763) innehåller bestämmelser av viss betydelse för informationshanteringen. Därutöver finns bestämmelser i speciallagstiftning, förordningar och myndighetsföreskrifter som måste beaktas vid informationshanteringen på vissa områden inom hälso- och sjukvården.
Det har i olika sammanhang anförts att det nuvarande regelverket är alltför splittrat och att det leder till otydlighet och problem i den praktiska tillämpningen. I våra kontakter med företrädare för hälso- och sjukvården har framkommit att det är en utbredd uppfattning inom hälso- och sjukvården att den splittrade lagstiftningen
i sig skapar en osäkerhet om vad som egentligen gäller för hanteringen av personuppgifter. Detta har bl.a. fått till följd att skillnader i hur lagarna tolkas och tillämpas inte är ovanliga inom hälso- och sjukvårdsområdet. Inte minst gäller detta tolkning av regelverket kring inre och yttre sekretess i samband med befattningshavares tillgång till elektronisk information och elektroniskt utbyte av patientuppgifter mellan olika vårdenheter. Omfattningen av vårdregisterlagens tillämpningsområde är en annan fråga som det ofta uppstår osäkerhet kring liksom frågan om vad personuppgiftslagen egentligen tillåter eller ställer för krav på personuppgiftsbehandlingen.
Över huvud taget kan sägas att regleringen av hälso- och sjukvårdssektorn är uppdelad på en mycket stor mängd författningar. Att sektorn genererat många lagar är knappast ägnat att förvåna redan med tanke på sektorns omfattning (samhällets kostnader för hälso- och sjukvårdssektorn uppgick år 2004 till 9,1 procent av bruttonationalprodukten), komplexiteten i verksamheten och de många förändringar i sektorn som utvecklingen i olika avseenden påkallat eller som annars genomförts. Den splittrade lagstiftningen har i flera sammanhang kommenterats och kritiserats för att vara svårtillgänglig, oöverblickbar och för att leda till tillämpningsproblem i olika avseenden.
Kommittén om hälso- och sjukvårdens finansiering och organisation (HSU 2000) behandlade frågan om en mer samlad hälso- och sjukvårdslagstiftning i betänkandet Patienten har rätt (SOU 1997:154 s. 115 f.). Kommittén anförde bl.a. att hälso- och sjukvårdslagstiftningen behöver ses över. Enligt kommittén borde en av utgångspunkterna vid översynen vara att de bestämmelser som har betydelse för patientens ställning samlas i en lag i stället för att som nu vara spridda på flera lagar. Den uppenbara fördelen med detta skulle, enligt kommittén, vara att bestämmelserna blir tillgängliga och överskådliga för såväl patienter och personal som allmänheten. Det skulle därmed bli lättare att sprida kunskap om vad som faktiskt gäller på området. Kommittén ansåg det vidare viktigt för rättssäkerheten med en klar och lättillgänglig lagstiftning, särskilt på områden där bestämmelserna i första hand skall tolkas och tillämpas av personer utan juridisk utbildning. Lagtekniskt skulle detta kunna åstadkommas på olika sätt, t.ex. genom en patientlag som reglerar patientens ställning eller som ett eget kapitel i en hälso- och sjukvårdsbalk. Kommittén fann emellertid att frågan har lagstiftningstekniska komplikationer som föll utanför kommitténs uppdrag och föreslog regeringen att den skulle ta initiativ till en samlad översyn av hälso- och sjukvårds-
lagstiftningen i syfte att åstadkomma en patientfokuserad och tydlig reglering av patientens ställning.
Någon sådan bred översyn som kommittén föreslog har hittills inte kommit till stånd. I förarbetena till lagen om yrkesverksamhet på hälso- och sjukvårdens område anförde dock regeringen att lagen var ett första steg i den riktning som förespråkats av kommittén (prop. 1997/98:109 s. 78 f.). Beträffande regleringen av yrkesverksamhet på hälso- och sjukvårdens område uttalade regeringen bl.a. att patienterna har ett befogat intresse av att lagstiftningen är effektiv, lättillgänglig och tydlig. Ur patientens synvinkel är det av särskilt värde att samla bestämmelserna i en lag. Eftersom lagstiftningen konkret tillämpas på yrkesutövarna inom hälso- och sjukvården, har dessa yrkesutövare ett särskilt intresse av att lagstiftningen är klar, konsekvent och överskådlig. Myndigheter som skall tillämpa lagstiftningen, främst Socialstyrelsen och Hälso- och sjukvårdens ansvarsnämnd, har självfallet också ett intresse av att lagstiftningen är lätt att överblicka och att tillämpa. Sammanfattningsvis ansåg regeringen att en bättre samordning borde ske vad gäller de då fem lagar som bl.a. reglerade de olika yrkesgruppernas skyldigheter inom hälso- och sjukvården. Enligt regeringen torde tillämpningen av lagstiftningen, liksom dess överblickbarhet, avsevärt underlättas om reglerna samlas i ett mer enhetligt regelsystem. Om man i en lag tydligt särskiljer de olika delfrågorna, genom att dela in lagen i flera kapitel, förbättras överblickbarheten avsevärt även om den föreslagna lagen blir omfångsrik.
7.3. Våra överväganden
7.3.1. En mer samlad reglering
Vårt förslag: Bestämmelserna i patientjournallagen och vårdregisterlagen sammanförs i en ny lag, patientdatalagen.
Vi har förståelse för att det splittrade regelverket kring personuppgiftsbehandling inom hälso- och sjukvården kan innebära problem. På motsvarande sätt som anförts i samband med införandet av lagen om yrkesverksamhet på hälso- och sjukvårdens område anser vi att tillämpningen av lagstiftningen avsevärt skulle underlättas och bli mer enhetlig med en mer sammanhållen reglering än den nuvarande. En samlad reglering vinner i tydlighet, konsekvens och överblickbar-
het; nog så viktiga komponenter för enskilda patienters integritetsskydd.
Som tidigare nämnts är det framför allt bestämmelserna i patientjournallagen, vårdregisterlagen och personuppgiftslagen som är av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter. Det är alltså i första hand bestämmelserna i de två förstnämnda lagarna som bör föras samman i en ny lag. (Vi återkommer till frågan hur en ny sådan lag skulle förhålla sig till bestämmelserna i personuppgiftslagen.)
Patientjournallagen innehåller de grundläggande bestämmelserna om patientjournaler inom hälso- och sjukvården. Lagen ställer krav på journalernas utformning, innehåll och hantering. Den innehåller därutöver bestämmelser om bl.a. hur journalerna skall bevaras, vilka yrkeskategorier som är skyldiga att föra journal och omhändertagande av journaler. Lagen är teknikneutral, dvs. den gäller oavsett om journaler förs på papper eller elektroniskt.
Vårdregisterlagen reglerar automatiserad behandling av personuppgifter i vårdregister och gäller utöver personuppgiftslagens bestämmelser. Vårdregister förekommer inom hälso- och sjukvårdens individinriktade verksamhet och används för dokumentation av vården av patienter, för sådan administration som rör enskilda patienter och som syftar till att bereda vård i enskilda fall samt för den ekonomiadministration som föranleds av vård i enskilda fall. I lagen finns bestämmelser om bl.a. vilka uppgifter som får finnas i ett vårdregister, för vilka ändamål personuppgifter i vårdregister får behandlas, i vad mån uppgifter får hämtas till ett vårdregister från andra register genom samkörning, i vad mån direktåtkomst till uppgifter i ett vårdregister får medges och i vad mån uppgifter får lämnas ut från ett vårdregister på medium för automatiserad behandling.
Vårdregisterlagen är en registerförfattning och reglerar vilken personuppgiftsbehandling som får utföras. Patientjournallagen är däremot inte någon registerförfattning, utan innehåller regler om vad som måste göras i fråga om patientjournaler. En annan skillnad är att vårdregisterlagens bestämmelser avser behandling av personuppgifter, medan patientjournallagens bestämmelser avser såväl informationshantering som bedrivande av verksamheten.
För att uppnå en mer sammanhållen lagstiftning bör, enligt vår uppfattning, utgångspunkten vara att samtliga bestämmelser i patientjournallagen och vårdregisterlagen skall föras över till den nya lagen. Det innebär att den nya lagen kommer att innehålla bestämmelser som reglerar såväl verksamheten som behandling av personupp-
gifter. Med tanke på att praktiskt taget all patientdatahantering i framtiden kommer att vara elektronisk framstår det enligt vår mening som mest ändamålsenligt med en sådan ordning. Sådan ”blandad” lagstiftning förekommer för övrigt redan i dag. Ett exempel härpå är kreditupplysningslagen (1973:1173).
Andra alternativ skulle vara att behålla de verksamhetsstyrande reglerna i patientjournallagen eller att föra över dem till någon annan författning, t.ex. hälso- och sjukvårdslagen eller lagen om yrkesverksamhet på hälso- och sjukvårdens område. Då skulle emellertid regelverket kring patientdatahantering vara fortsatt splittrat och tillämpningen av lagstiftningen skulle inte underlättas på det sätt som vi eftersträvar.
Vi föreslår alltså att bestämmelserna i patientjournallagen och vårdregisterlagen sammanförs i en ny lag. Denna bör ges namnet patientdatalagen.
För att den nya lagen skall bli överblickbar föreslår vi att den delas in i flera kapitel. I ett inledande kapitel bör lagens tillämpningsområde, vissa begrepp, m.m. beskrivas. Ett kapitel bör innehålla grundläggande bestämmelser om behandling av personuppgifter. Ett annat kapitel bör innehålla bestämmelser om skyldigheten att föra patientjournal, vilka bestämmelser hämtas från patientjournallagen. Den föreslagna lagen bör även innehålla särskilda kapitel med bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar, nationella och regionala kvalitetsregister samt rättigheter för den enskilde.
7.3.2. Lagens tillämpningsområde
Vårt förslag: Patientdatalagen skall tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Verksamhet hos t.ex. patientnämnder och läkemedelskommittéer eller verksamhet hos t.ex. Smittskyddsinstitutet eller Socialstyrelsen omfattas inte av lagen.
Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.
Tillämpningsområdet omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av
personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar.
Därutöver gäller vissa särskilda bestämmelser om dokumentation m.m. i patientjournaler. Dessa bestämmelser är tillämpliga även om behandlingen sker manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.
Personuppgiftsbehandling i verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patientnämnder eller läkemedelskommittéer. Även hos en vårdgivare som omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som faller utanför lagens tillämpningsområde. Så är exempelvis fallet i internadministrativ verksamhet vid personuppgiftsbehandling rörande anställda eller rörande leverantörer av varor och tjänster.
Sådan särskild personuppgiftsbehandling som sker för forskningsändamål eller utbildningsändamål faller utanför lagens tillämpningsområde.
Vårt uppdrag
Enligt våra första tilläggsdirektiv (dir. 2004:95) skall vårt förslag till reglering omfatta behandlingen av personuppgifter i den medicinska vården, den kvalitetsförbättrande verksamheten, forskningen och den administrativa verksamheten inom hälso- och sjukvården. Närmare än så preciseras inte det tänkta tillämpningsområdet för en kommande reglering. Efter en sammanfattande beskrivning av gällande rätt på området redovisar vi våra överväganden när det gäller såväl vems som vilken personuppgiftsbehandling som bör regleras av patientdatalagen.
Dagens reglering
Personuppgiftslagen har ett vidsträckt tillämpningsområde och reglerar i princip all hantering inom hälso- och sjukvårdssektorn av information om patienter, anhöriga, personal, fysiska uppdragstagare och andra enskilda så länge som uppgifterna direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även vid hantering av t.ex. kodade uppgifter eller pseudonymer är personuppgiftslagens bestämmelser således tillämpliga. Däremot är personuppgiftslagen inte tillämplig när det handlar om behandling av uppgifter om avlidna. Vidare skall hanteringen, dvs. personuppgiftsbehandlingen, ske helt eller delvis automatiserat eller manuellt i register för att omfattas av personuppgiftslagen. Personuppgiftslagen är alltså teknikoberoende.
Vid elektronisk behandling av personuppgifter i vårdregister gäller därutöver vårdregisterlagen. Tillämpningsområdet för vårdregisterlagen är knutet till särskilda datoriserade samlingar av personuppgifter som inrättats för att användas i hälso- och sjukvårdens individinriktade vårdverksamhet.
Med vård enligt vårdregisterlagen avses vård enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168). Enligt förarbetena till vårdregisterlagen avses denna hänvisning till uppräknade lagar skapa tydlighet i fråga om vilken vårdverksamhet som omfattas av vårdregisterlagens tillämpningsområde. All elektronisk patientjournalföring – oavsett om den grundar sig på patientjournallagen eller annan författning – regleras av vårdregisterlagen (prop. 1997/98:108 s. 68 f.).
Vad som utgör ett vårdregister bestäms i hög grad av vårdregisterlagens ändamålsreglering i kombination med en bestämmelse om vad ett vårdregister får innehålla. Personuppgifter i ett vårdregister får behandlas för ändamålen dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Dessutom får personuppgifter behandlas för den ekonomiadministration som föranleds av vård i enskilda fall (3 §). De nämnda ändamålen kan kallas primära. Endast sådana personuppgifter som behövs för dessa primära ändamål får finnas i ett vårdregister. Vårdregisterlagen reglerar, liksom personuppgiftslagen, bara behandling av uppgifter om levande personer.
Personuppgifter i vårdregister får emellertid även användas för framställning av statistik, för uppföljning, utvärdering, kvalitetssäk-
ring och administration på verksamhetsområdet samt för uppgiftsutlämnande som föreskrivs i lag eller förordning (4 §). Dessa ändamål kan sägas vara sekundära ändamål. Personuppgiftsbehandling som sker särskilt för något eller flera av dessa sekundära ändamål omfattas dock inte av vårdregisterlagens tillämpningsområde. Personuppgiftsbehandling i register eller liknande elektroniska uppgiftssamlingar som inrättats för andra ändamål än vårdregisterlagens primära ändamål – t.ex. kvalitetsregister eller elektroniska system för avvikelserapportering – regleras således bara av personuppgiftslagen.
Patientdatalagens tillämpningsområde
Hälso- och sjukvård är en omfattande sektor i samhället som inbegriper många myndigheter, företag och andra aktörer med verksamhet av betydelse för sektorn. Förutom landstingen och kommunerna – som ansvarar för organiserandet av hälso- och sjukvården inom sina områden och som dessutom i egen regi bedriver hälso- och sjukvård – finns det ett växande antal privata vårdgivare som tillhandahåller hälso- och sjukvård åt patienter. En del statliga myndigheter, såsom t.ex. Kriminalvården och Totalförsvarets pliktverk, tillhandahåller viss hälso- och sjukvård. Till hälso- och sjukvården hör även företagshälsovården och skolhälsovården; verksamheter som kan ha en rad olika huvudmän. Därutöver finns flera statliga myndigheter med uppgifter inom hälso- och sjukvårdssektorn. Den största är Socialstyrelsen som bl.a. utövar tillsyn över hälso- och sjukvården samt över hälso- och sjukvårdspersonalen. Hälso- och sjukvårdens ansvarsnämnd är en annan statlig myndighet som prövar anmälningar mot hälso- och sjukvårdspersonal i samband med undersökning, vård och behandling av patienter. Både Socialstyrelsen och ansvarsnämnden hanterar integritetskänsliga uppgifter om patienter i sina verksamheter. Även vid andra statliga myndigheter, t.ex. universitet och andra forskningshuvudmän, förekommer behandling av personuppgifter om patienter i en inte obetydlig omfattning. En fråga är hur omfattande patientdatalagens tillämpningsområde skall vara i fråga om vems personuppgiftsbehandling som regleras av lagen. Härmed sammanhänger också frågan om vilken eller vilka slags verksamheter som skall regleras av patientdatalagens bestämmelser om personuppgiftsbehandling.
Utgångspunkten här bör enligt vår uppfattning vara att patientdatalagen skall koncentreras till att omfatta personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oberoende av om den verksamheten sker enligt hälso- och sjukvårdslagen, tandvårdslagen, lagen om psykiatrisk tvångsvård, lagen om rättspsykiatrisk vård, smittskyddslagen eller någon annan lagstiftning. Hit hör t.ex. även insemination, abort, sterilisering, kastrering, omskärelse och transplantationsingrepp på givare, blodgivning och annan liknande patientverksamhet som innefattar vård, undersökning eller behandling. Härigenom avgränsas tillämpningsområdet i förhållande till personuppgiftsbehandling hos sådana andra myndigheter m.fl. som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, såsom Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd för att ta några exempel. Även verksamhet vid sjukvårdhuvudmännens läkemedelskommittéer och patientnämnder faller utanför patientdatalagens tillämpningsområde.
Det sagda innebär att det är vårdgivares personuppgiftsbehandling som regleras av lagen. Vi föreslår att begreppet vårdgivare definieras i patientdatalagen. Med vårdgivare avses – med ett undantag – i patientdatalagen en fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård. En vårdgivare kan vara en fysisk person som bedriver hälso- och sjukvård i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande. Sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen är egna juridiska personer och utgör självständiga vårdgivare. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen landstinget eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Härmed avses exempelvis både s.k. beställar- och utförarnämnder i ett landsting eller en kommun.
Undantaget i patientdatalagen från huvudregeln om att vårdgivaren skall vara en juridisk eller fysisk person avser individinriktad hälso- och sjukvård som tillhandahålls av statliga myndigheter. Sådan hälso- och sjukvård bedrivs parallellt med annan verksamhet som utgör myndighetens huvuduppgift, t.ex. hos universitet och högskolor, Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets plikt-
verk. Vi menar därför att det är naturligt att behandla dessa statliga myndigheter som separata vårdgivare i patientdatalagens mening.
Till den ovan beskrivna kärnverksamheten – individinriktad patientvård – hör ett ansvar att administrera och att i olika avseenden utveckla verksamheten. Även i den verksamheten behöver vårdgivare behandla personuppgifter, oftast samma uppgifter som samlats in i patientvården. Även denna personuppgiftsbehandling bör regleras av patientdatalagen. Däremot anser vi att personuppgiftsbehandlingen i den rent administrativa verksamheten utan nära koppling till patientverksamheten – t.ex. i personaladministrationen, materialförsörjningen m.m. – bör falla utanför patientdatalagens tillämpningsområde.
I våra direktiv anges att regleringen också skall omfatta forskning inom hälso- och sjukvården. Genom våra förslag ovan om att det bara är vårdgivares personuppgiftsbehandling som skall regleras av patientdatalagen, faller delar av den medicinska forskningen och annan vårdrelaterad forskning utanför tillämpningsområdet, nämligen i den mån denna bedrivs av andra huvudmän än vårdgivare. Sjukvårdshuvudmännen bedriver emellertid själva i betydande omfattning medicinsk och annan forskning inom hälso- och sjukvården. I 26 b § hälso- och sjukvårdslagen åläggs sjukvårdshuvudmännen ett ansvar för att medverka vid genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt forskningsarbete. När det gäller den s.k. patientnära eller kliniska forskningen som förekommer hos vårdgivare, bedrivs den inte sällan integrerat med patientvården. Såsom närmare beskrivs i avsnitt 17 utgör forskning respektive patientvård emellertid självständiga verksamhetsgrenar i förhållande till varandra. Förutsättningarna för behandling av bl.a. känsliga personuppgifter för forskningsändamål är föremål för särreglering i lagen (2003:460) om etikprövning av forskning som avser människor.
Den särskilda personuppgiftsbehandling som föranleds av forskningen i den patientnära forskningen bör enligt vår uppfattning inte regleras av patientdatalagen. Härmed avses dokumentation som enbart sker i forskningssyfte och heller inte har någon betydelse för vården. Sådan personuppgiftsbehandling kommer även fortsättningsvis att regleras av personuppgiftslagen. Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården, regleras den informationshanteringen dock av patientdatalagen.
Motsvarande bör gälla för den kliniska utbildningen av t.ex. blivande läkare och sjuksköterskor. Det har inte varit möjligt att inom ramen för vårt uppdrag närmare granska förutsättningarna för att använda uppgifter om patienter i teoretisk eller praktisk hälso- och sjukvårdsutbildning. Vi vill emellertid framhålla att utbildningsverksamhet i allt väsentligt är en egen verksamhetsgren också då den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård. Utbildningsverksamheten som sådan ingår alltså inte i patientdatalagens tillämpningsområde. I den utsträckning studenter emellertid deltar i den faktiska patientvården såsom praktikanter, omfattas deras arbete, om än i utbildningssyfte, av patientdatalagens tillämpningsområde. Det innebär bl.a. att vårdgivare i sådana fall skall kunna låta studenterna få ta del av och även kunna föra anteckningar i elektroniska patientjournaler i nödvändig omfattning. Normalt torde detta förutsätta såväl patientens samtycke som att praktikantens åtgärder sker under en handledares uppsikt och ledning.
När det därefter gäller vilken slags personuppgiftsbehandling som skall regleras av patientdatalagen gör vi följande överväganden.
Vid behandling av personuppgifter i vårdgivarnas verksamhet förekommer en i det närmaste oöverblickbar mängd olika slags datoriserade register. Det förekommer vidare andra elektroniska system för hantering av personuppgifter som inte kan sägas ha organiserats och systematiserats på sätt som gör att man kan tala om register. Utvecklingen går alltmer mot att olika funktioner integreras i stora elektroniska system för hantering av både ett flertal strukturerade uppgiftssamlingar och annan mer ostrukturerad information. På grund av denna informationstekniska utveckling har det blivit allt svårare att fastställa såväl när ett register inrättats som vad som är ett register i förhållande till ett annat. Det har också vid tillämpning av vårdregisterlagen uppstått en hel del oklarheter om vad som kan sägas ingå i ett vårdregister eller inte. Det har i sin tur medfört svårigheter att bedöma dels hur personuppgifter som finns elektroniskt lagrade i verksamheten får användas, dels vilken lag – personuppgiftslagen eller vårdregisterlagen – som är tillämplig på en enskild personuppgiftsbehandling. Problemen gäller framför allt när individbunden information om patienter används för sådana sekundära ändamål som avses i 4 § vårdregisterlagen.
Genom personuppgiftslagens införande har begreppet register kommit att spela en underordnad roll vid elektronisk behandling av personuppgifter. All elektronisk behandling av personuppgifter omfattas av personuppgiftslagens bestämmelser alldeles oavsett om
personuppgifterna ingår i register eller inte. I stället har det blivit av avgörande betydelse att personuppgifter skall samlas in för uttryckligt angivna ändamål och sedan inte användas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Mot bakgrund av den komplexa IT-struktur som vuxit fram inom hälso- och sjukvården menar vi att övervägande skäl talar för att patientdatalagens reglering av personuppgiftsbehandling skall omfatta inte bara personuppgiftsbehandling i särskilda register eller databaser utan på samma sätt som personuppgiftslagen omfatta all helt eller delvis automatiserad behandling av personuppgifter i kärnverksamheten. Vidare bör även manuell behandling i register eller för registerföring omfattas. Ledning för bedömning av vilken manuell hantering som omfattas kan sökas i förarbeten, doktrin och praxis rörande personuppgiftslagens bestämmelser, se t.ex. RÅ 2001 ref. 35. Såsom framgått av föregående avsnitt kommer även patientjournallagens bestämmelser om dokumentation m.m. i patientjournaler att föras in i patientdatalagen. I denna del kommer patientdatalagen att bli tillämplig även på manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register. Detta skall uttryckligen framgå av lagen.
I hälso- och sjukvårdens verksamhet förekommer en mängd uppgifter om avlidna. Som redovisats i det föregående är varken personuppgiftslagen eller vårdregisterlagen tillämpliga på dessa uppgifter. Däremot gäller patientjournallagens bestämmelser i tillämpliga delar, t.ex. skall skyldigheten att föra patientjournal även i fortsättningen omfatta patient som avlider. Vi menar därutöver att uppgifter om avlidna patienter kan vara integritetskänsliga och att därför även sådana uppgifter bör omfattas av lagens bestämmelser om personuppgiftsbehandling i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna.
7.3.3. Patientdatalagens förhållande till annan lagstiftning
Förhållandet till personuppgiftslagen
Personuppgiftslagen gäller vid helt eller delvis automatiserad behandling av personuppgifter och vid manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en struk-
turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Lagen innehåller vissa definitioner och grundläggande förutsättningar för när behandling av personuppgifter är tillåten. I lagen finns vidare bl.a. bestämmelser om information till den registrerade, om säkerhet vid behandlingen, om rättelse av uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen och om skadestånd.
Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Det är emellertid möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för personuppgiftslagens bestämmelser. En förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmelserna i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Avseende de bestämmelser som inte skall avvika från personuppgiftslagen har det förekommit olika lösningar i tidigare lagstiftningsärenden.
En metod är att konstruera den särskilda författningen så att den genom särreglering endast kompletterar personuppgiftslagen. Den särskilda författningen kommer då att gälla utöver personuppgiftslagen, vilket innebär att när reglering saknas i den särskilda författningen kommer personuppgiftslagens bestämmelser att vara tillämpliga. Nackdelen med denna lösning är att lagtillämparen kan ha svårt att få en överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga. Metoden används bl.a. i vårdregisterlagen.
En annan metod är att reglera de bestämmelser som avviker från personuppgiftslagen särskilt i specialförfattningen och uttryckligen hänvisa till de lagrum i personuppgiftslagen som skall vara tillämpliga. Fördelarna med denna metod är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden har emellertid fått kritik av Lagrådet som bl.a. ansett att lagstiftningstekniken är riskfylld, med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga (prop. 2000/01:33 s. 345). Metoden används dock i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Som skäl härför anförde regeringen att denna lagstiftningsteknik redan användes i regleringen av Tull-
verkets fiskala verksamhet och att det fanns ett inte obetydligt värde i att använda samma typ av lagstiftningsteknik för behandling av personuppgifter i myndighetens hela verksamhet, utom i den rent administrativa verksamhet som i princip regleras av enbart personuppgiftslagen. Regeringen menade vidare att risken att inte kunna överblicka att dataskyddsdirektivet till fullo blir genomfört i princip inte gjorde sig gällande på det aktuella ärendet eftersom Tullverkets brottsbekämpande verksamhet delvis ligger utanför direktivets tillämpningsområde (prop. 2004/05:164 s. 48).
Dessa skäl gör sig emellertid inte gällande i fråga om den föreslagna patientdatalagen. Som framgått tidigare används den förstnämnda lagstiftningstekniken i bl.a. vårdregisterlagen. Vidare omfattas hälso- och sjukvård av dataskyddsdirektivets tillämpningsområde. Mot bakgrund av de påtalade riskerna med den senare lagstiftningstekniken anser vi att patientdatalagen i förhållande till personuppgiftslagen bör enbart omfatta de särbestämmelser och förtydliganden som det bedöms föreligga behov av när det gäller sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Detta innebär t.ex. att de begrepp som används i patientdatalagen, t.ex. ”behandling” (av personuppgifter) och ”personuppgifter” har den innebörd som framgår av definitioner i 3 § personuppgiftslagen utan att detta särskilt behöver anges. Även 9 § personuppgiftslagen om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter gäller också då personuppgifter behandlas enligt patientdatalagen. Vi återkommer i det följande till vilka ytterligare bestämmelser i personuppgiftslagen som skall tillämpas vid behandling som regleras i patientdatalagen.
Förhållandet till biobankslagen
I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) regleras hur humanbiologiskt material, med respekt för den enskilda människans integritet, skall få samlas in, förvaras och användas för vissa ändamål.
Med biobank avses i lagen biologiskt material från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd
tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör.
Lagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen gäller också för vävnadsprover från en biobank som inrättats i en vårdgivares hälso- och sjukvårdsverksamhet men som har lämnats ut för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och som även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Lagen är däremot inte tillämplig på prover som rutinmässigt tas i vården för analys och som uteslutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid än cirka två månader. Sparas proverna längre tid är lagen emellertid tillämplig även på dessa prover (prop. 2001/02:44 s. 68 f.).
I biobankslagen regleras även den s.k. PKU-biobanken, vilken innehåller vävnadsprover från nyfödda barn. Regleringen innebär bl.a. att den vårdgivare som regeringen bestämmer (Stockholms läns landsting) får med hjälp av automatiserad behandling eller annan behandling av personuppgifter föra ett särskilt register för screening av prover från nyfödda barn för vissa ämnesomsättningsrubbningar (PKU-registret).
Biobankslagen är subsidiär i förhållande till andra lagar. Bestämmelserna om PKU-registret har dock företräde framför bestämmelser i annan lag (1 kap. 4 §).
I förarbetena till biobankslagen behandlas frågan om vävnadsprover i biobanker och förhållandet till personuppgiftslagen (a. prop. s. 31). Av personuppgiftslagen följer att all information som kan hänföras till en levande individ är personuppgifter. Det som krävs är att en fysisk person kan identifieras med hjälp av informationen. Regeringen gör bedömningen att med den definition av en biobank som anges i lagen – att en biobank utgörs av mänskligt material vars ursprung skall kunna spåras till en viss individ – är en biobank med material från levande personer att anse som personuppgifter enligt personuppgiftslagen.
Regeringen övergår därefter till frågan huruvida själva förvaringen av vävnadsprover i en biobank utgör en sådan delvis automatiserad eller manuell behandling av personuppgifter som regleras i personuppgiftslagen. Vävnadsprover förvaras t.ex. i parafinklossar vilka har ett identifieringsnummer. Övriga uppgifter om provgivarna såsom
personnummer m.m. förvaras i anslutning till vävnadsproverna i register eller patientjournaler. Identifieringsnumret är nödvändigt för att vävnadsproverna skall kunna härledas till personuppgifterna i registren. Mot bakgrund av hur vävnadsprover och patientuppgifter förvaras gör regeringen bedömningen att själva förvaringen av vävnadsproverna i en biobank inte kan anses utgöra en delvis automatiserad behandling. Vidare gör regeringen bedömningen att eftersom det endast finns ett kriterium för sökning (identifieringsnumret) kan vävnadsprover i en biobank inte anses tillgängliga för sökning på ett sådant sätt att vävnadsproverna omfattas av personuppgiftslagens bestämmelser om manuell behandling av personuppgifter.
De personuppgifter om provgivarna som finns i register eller annan form i anslutning till proverna utgör inte en del av biobanken (a. prop. s. 34 f.). För dessa uppgifter gäller i stället bl.a. personuppgiftslagen. Om uppgifterna behandlas i ett vårdregister, gäller även vårdregisterlagens bestämmelser.
Våra förslag innebär att patientdatalagens bestämmelser skall tillämpas vid personuppgiftsbehandling som sker i en vårdgivares hälso- och sjukvårdsverksamhet och som avser personuppgifter som förvaras i anslutning till vävnadsprover i en biobank. När det gäller behandling av personuppgifter i PKU-registret så kommer dock denna alltjämt att regleras av biobankslagen.
Förhållandet till lagen om läkemedelsförteckning
I lagen (2005:258) om läkemedelsförteckning anges att Apoteket AB skall för vissa i lagen angivna ändamål utföra automatiserad behandling av personuppgifter i ett särskilt register över köp av förskrivna läkemedel (läkemedelsförteckning).
Själva registreringen av uppgifter i förteckningen sker utan patientens medgivande. Tillgång till uppgifterna får däremot ges till förskrivare och farmaceut endast efter uttryckligt samtycke från den registrerade. Om samtycke inte kan lämnas, får uppgifterna i förteckningen lämnas ut till förskrivare om det är nödvändigt för att den registrerade skall kunna få vård eller behandling som han eller hon oundgängligen behöver.
Förskrivare av läkemedel får använda förteckningen för att åstadkomma en säker framtida förskrivning av läkemedel för den registrerade och för att bereda den registrerade vård och behandling.
Förskrivare får även använda uppgifterna för att komplettera den registrerades patientjournal. Vidare får förteckningen användas av farmaceut på apotek för att underlätta den kontroll som skall genomföras innan ett läkemedel lämnas ut till den registrerade från apotek. Förteckningen får även användas av de registrerade för att underlätta deras läkemedelsanvändning.
Uppgifterna i läkemedelsförteckningen får lämnas till förskrivare, farmaceut och den registrerade på medium för automatiserad behandling. Förskrivare och farmaceut får ha direktåtkomst till uppgifter i läkemedelsförteckningen. Den registrerade får ha direktåtkomst till uppgifter om sig själv. Utlämnandet av uppgifter i en läkemedelsförteckning till förskrivare inom hälso- och sjukvården skall även fortsättningsvis regleras av lagen av läkemedelsförteckning och alltså inte av patientdatalagen. Den fortsatta behandlingen av uppgifterna inom hälso- och sjukvården kommer däremot att regleras av patientdatalagen.
I 6 § vårdregisterlagen anges att patientens läkemedelsförteckning får hämtas till ett vårdregister genom samkörning. Bestämmelsen reglerar hur (genom samkörning) uppgifterna i patientens läkemedelsförteckning får tillföras patientens journal när det är tillåtet för förskrivaren att ta del av läkemedelsförteckningen. Denna fråga kommer fortsättningsvis att regleras av patientdatalagen (se avsnitt 8.2.4). Frågan om när det är tillåtet att ta del av läkemedelsförteckningen regleras däremot i lagen om läkemedelsförteckning.
Förhållandet till lagen om genetisk integritet m.m.
Lagen (2006:351) om genetisk integritet m.m., som trädde i kraft den 1 juli 2006, är en samlad lag för genetisk undersökning och information inom hälso- och sjukvården och medicinsk forskning samt genterapi m.m. Den reglerar även befruktning utanför kroppen, insemination och kommersialisering av humanbiologiskt material.
När en genetisk undersökning görs på begäran av en enskild eller i samband med en allmän hälsoundersökning är patientjournallagen tillämplig. Sådana undersökningar kommer således att omfattas av patientdatalagens bestämmelser.
Lagen om genetisk integritet m.m. ersätter bl.a. lagen (1984:1140) om insemination och lagen (1988:711) om befruktning utanför kroppen. De tidigare bestämmelserna i 3 § lagen om insemination och 6 § lagen om befruktning utanför kroppen om att uppgifter om
givaren skall antecknas i en särskild journal, som skall bevaras i minst 70 år, har förts över till 6 kap. 4 § respektive 7 kap. 6 § lagen om genetisk integritet m.m. Dessa bestämmelser utgör särregler i förhållande till patientjournallagen och gäller alltså utöver sistnämnda lags grundläggande bestämmelser om journalföring. På motsvarande sätt skall dessa särregler gälla utöver patientdatalagens bestämmelser.
Förhållandet till lagen om blodsäkerhet
Lagen (2006:496) om blodsäkerhet (blodsäkerhetslagen), som trädde i kraft den 1 juli 2006, grundar sig på Europaparlamentets och rådet direktiv 2002/98/EG av den 27 januari 2003 om fastställande av kvalitets- och säkerhetsnormer för insamling, kontroll, framställning, förvaring och distribution av humanblod och blodkomponenter och ändring av direktiv 2001/83/EG.
Lagen är tillämplig på blodverksamhet som bedrivs vid blodcentraler. Med blodverksamhet avses i lagen insamling och kontroll av blod och blodkomponenter avsedda att användas vid transfusion eller läkemedelstillverkning, samt framställning, förvaring och distribution av blod och blodkomponenter när de är avsedda att användas vid transfusion.
Enligt blodsäkerhetslagen skall blodcentraler föra ett register med uppgifter om den verksamhet som bedrivs vid blodcentralen, blodgivare och gjorda kontroller av blod och blodkomponenter. Registret får ha till ändamål endast att göra det möjligt att spåra blod och blodkomponenter och att förhindra att smittat blod och blodkomponenter överförs till människor. Registret får föras med hjälp av automatiserad behandling. Registret får i fråga om personuppgifter innehålla uppgift bara om blodgivares identitet och uppgiven sjukdomshistoria samt uppgift om resultatet av gjorda kontroller av blod och blodkomponenter. Uppgifterna i registret skall gallras 30 år efter införandet.
Insamling, kontroll, framställning, förvaring och distribution av blod och blodkomponenter avsedda att användas vid transfusion är att betrakta som hälso- och sjukvård i den mening som avses i hälso- och sjukvårdslagen. Insamling och kontroll av blod och blodkomponenter avsedda att användas som råvara vid läkemedelstillverkning omfattas också av bestämmelserna i blodsäkerhetslagen. Sådan verksamhet har emellertid inte primärt vård- eller behandlingssyfte och är därför inte att betrakta som hälso- och sjukvård i den mening
som avses i hälso- och sjukvårdslagen (prop. 2005/06:141 s. 29 f.). I fråga om blodsäkerhetslagens förhållande till annan lagstiftning anges i propositionen att i de fall blodverksamhet är att betrakta som hälso- och sjukvård och bestämmelserna i vårdregisterlagen och patientjournallagen är tillämpliga får lagarna tillämpas parallellt (a. prop. s. 51). I dessa fall kommer i stället patientdatalagen att gälla parallellt med blodsäkerhetslagen, dvs. bestämmelserna i båda lagarna blir tillämpliga.
8. Grundläggande bestämmelser om personuppgiftsbehandling
8.1. Inledning
I detta avsnitt behandlas några övergripande frågeställningar och förslag till grundläggande bestämmelser om personuppgiftsbehandling som avses gälla generellt inom patientdatalagens tillämpningsområde vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se avsnitt 7). Tanken är att dessa skall, tillsammans med personuppgiftslagens (1998:204) bestämmelser, formera en yttersta ram för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården.
8.2. Ändamål för personuppgiftsbehandlingen
Våra förslag: I patientdatalagen anges ändamål för vilka personuppgifter får samlas in och även i övrigt behandlas inom hälso- och sjukvården. Ändamålen är följande.
1. patientjournalföring och annan dokumentation som behövs i
och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation),
2. utförande av annan dokumentation som följer av lag, förord-
ning eller annan författning,
3. systematisk och fortlöpande utveckling och säkring av hälso-
och sjukvårdens kvalitet (Kvalitetssäkring),
4. administration, planering, uppföljning, utvärdering och tillsyn
av hälso- och sjukvårdsverksamheten och
5. framställning av statistik rörande hälso- och sjukvård
Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–5 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen (1998:204) för behandling av insamlade personuppgifter för ett nytt ändamål.
Några särskilda bestämmelser om samkörning föreslås inte.
8.2.1. Allmänt om ändamålsbestämning
Bestämning av ändamålen med behandling av personuppgifter är av central betydelse för personuppgiftslagens regelverk till skydd för enskilda registrerades personliga integritet. I 9 § personuppgiftslagen finns bestämmelser om grundläggande krav på behandling av personuppgifter som en personuppgiftsansvarig alltid måste följa. När det gäller ändamål anges i 9 § första stycket att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). De insamlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (punkt d). Denna sistnämnda bestämmelse kallas för finalitetsprincipen. Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade personuppgifterna finns angivna redan då uppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns alltså inte. Enligt 9 § andra stycket personuppgiftslagen skall senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål dock inte anses som oförenliga med de ändamål för vilka uppgifterna samlades in. Med behandling avses i detta sammanhang varje typ av åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 § personuppgiftslagen).
När det gäller registerförfattningar anges oftast uttryckligen för vilka ändamål personuppgifter får behandlas. Det är en omdiskuterad fråga i vad mån ändamålsbestämningar i registerförfattningar skall anses vara uttömmande eller inte, dvs. huruvida andra med ända-
målsbestämningen inte oförenliga ändamål skall anses vara tillåtna eller inte vid sidan av de uttryckliga ändamålen, då det handlar om en behandling av redan insamlade personuppgifter. Framgår det inte av den aktuella registerförfattningen att ändamålsbestämmelsen syftar till att vara uttömmande och personuppgiftslagen gäller utöver den särskilda registerförfattningen torde, enligt vår uppfattning, även andra icke angivna ändamål vara tillåtna, om dessa andra ändamål är förenliga med de i författningen angivna ändamålen eller om det är fråga om behandling för historiska, statistiska eller vetenskapliga ändamål. Detta följer av de nyss nämnda bestämmelserna i 9 § första stycket d och andra stycket personuppgiftslagen. I avsnitt 8.2.3 återkommer vi till frågan om innebörden av rekvisitet ”oförenligt” i bestämmelsen.
Vad gäller i dag?
Lagen (1998:544) om vårdregister (vårdregisterlagen) reglerar personuppgiftsbehandlingen i ett visst slag av personuppgiftssamlingar, vårdregister. Vårdregisterlagens ändamålsreglering är, som berörts i avsnitt 7.3.2, konstruerad så att det finns några primära ändamål som bestämmer vårdregistrens innehåll och huvudsakliga användningsområde samt några sekundära ändamål för vilka de för ett eller flera primära ändamål insamlade uppgifterna också får användas.
Enligt 3 § vårdregisterlagen är de primära ändamålen dokumentation av vården av patienter, sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall samt den ekonomiadministration som föranleds av vård i enskilda fall.
I 4 § vårdregisterlagen anges de sekundära ändamålen vara 1) framställning av statistik, 2) uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet samt 3) uppgiftsutlämnande som föreskrivs i lag eller förordning.
Att vårdregisterlagens ändamålsreglering inte är avsedd att vara helt uttömmande framgår bl.a. av 9 § enligt vilken personuppgifter i vårdregister får lämnas ut på medium för automatiserad behandling – förutom för att användas för primära eller sekundära ändamål enligt 3 och 4 §§ – för forskningsändamål.
Av förarbetena till vårdregisterlagen framgår att lagen inte är avsedd att reglera i vad mån personuppgifter i ett vårdregister över huvud taget får lämnas ut till en extern mottagare. Den frågan avgörs efter en prövning enligt sekretesslagen (1980:100) eller, avseende enskild
vård, lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Vad vårdregisterlagen reglerar är på vilket sätt personuppgifter får lämnas ut (prop. 1997/98:108 s. 77 f. och 88). Det sagda torde innebära att behandling av personuppgifter som finns i ett vårdregister får ske så snart en fråga uppkommer om att lämna ut en uppgift och alldeles oberoende av ändamålet med utlämnandet. Exempelvis kräver normalt redan en sekretessprövning att en personuppgiftsbehandling utförs. Däremot får ett utlämnande inte ske elektroniskt utan bara på t.ex. en papperskopia, om förutsättningarna enligt 9 § vårdregisterlagen inte är uppfyllda.
I vårdgivarnas hälso- och sjukvårdsverksamhet finns vid sidan av vårdregister ett stort antal andra elektroniska register eller andra slags personuppgiftssamlingar. Många har inrättats för ändamål som avses i 4 § vårdregisterlagen, såsom nationella kvalitetsregister eller lokala uppföljningssystem för att ta några exempel. Dessa register omfattas i dag av personuppgiftslagens generella bestämmelser. Så gör även vissa manuellt behandlade patientjournaler, patientkortsystem m.m. så länge som de strukturerats på det sätt som krävs i 5 § personuppgiftslagen. Huruvida elektronisk personuppgiftsbehandling i t.ex. löpande text i ordbehandlingsprogram eller i e-post och liknande, som inte är strukturerad eller kompatibel med något journal- eller patientadministrativt informationssystem, regleras av vårdregisterlagen eller enbart av personuppgiftslagen kan inte besvaras generellt. Vi bedömer emellertid att det kan förekomma en del elektronisk personuppgiftsbehandling som inte regleras av vårdregisterlagen, t.ex. då en läkare kommunicerar via e-post med en patient i ett program som inte särskilt eller huvudsakligen installerats för ändamål som anges i 3 § vårdregisterlagen. Då är det inte helt klart vilken lag som är tillämplig.
Enligt vårdregisterlagen finns vidare inte något hinder mot att lämna ut uppgifter elektroniskt för ändamål som enligt 4 § vårdregisterlagen är sekundära. Hos mottagaren, t.ex. en annan vårdgivare, torde den fortsatta behandlingen av de mottagna personuppgifterna i ett sådant fall inte alls regleras av vårdregisterlagen utan av personuppgiftslagen, eftersom mottagaren inte har vårdregisterlagens primära ändamål som sitt syfte med personuppgiftsbehandlingen. Det kan i sammanhanget noteras att det finns en särskild lättnad i hälso- och sjukvårdssekretessen i 7 kap. 1 c § femte stycket sekretesslagen just för att underlätta personuppgiftsbehandling genom utlämnande för administration och statistikändamål på hälso- och sjukvårdsområdet.
När personuppgiftslagen reglerar personuppgiftsbehandlingen är det – till skillnad från vårdregisterlagen – vårdgivaren som bestämmer alla de ändamål för vilka personuppgifterna skall behandlas. I 18 § första stycket personuppgiftslagen sätts emellertid en ram för det tillåtna när det gäller behandling av känsliga personuppgifter, t.ex. om hälsa, utan patientens eller annan registrerads uttryckliga samtycke. Då måste personuppgiftsbehandlingen, för att vara tillåten, ske för hälso- och sjukvårdsändamål och vara nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Enligt en kommentar till personuppgiftslagen täcker redan 18 § första stycket in i princip all personuppgiftsbehandling som förekommer inom hälso- och sjukvårdsområdet (Öman och Lindblom, Personuppgiftslagen – En kommentar, andra uppl., 2001, s. 148).
Till detta kommer enligt 18 § andra stycket personuppgiftslagen att hälso- och sjukvårdspersonal eller annan som omfattas av tystnadsplikt enligt sekretesslagen eller lagen om yrkesverksamhet på hälso- och sjukvårdens område får behandla känsliga personuppgifter som omfattas av tystnadsplikten. Enligt andra stycket krävs således inte att personuppgiftsbehandlingen skall ske för något i 18 § första stycket angivet ändamål för att vara tillåten utan den registrerades samtycke. Dock måste personuppgiftsbehandlingen vara nödvändig för något av de fall som anges i 10 § a–f personuppgiftslagen. Det sistnämnda gäller för övrigt all personuppgiftsbehandling utan den registrerades samtycke som sker med stöd av personuppgiftslagen.
Parentetiskt kan här nämnas att 18 § andra stycket personuppgiftslagen torde innebära en väsentlig utvidgning i förhållande till det bakomliggande Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) som enligt sina engelsk- och franskspråkiga versioner uppställer krav på tystnadsplikt utöver krav på särskilda ändamål. Enligt dataskyddsdirektivet måste således båda kraven vara uppfyllda i stället för vad som följer av personuppgiftslagen enligt vilken de är alternativa grunder.
8.2.2. Patientdatalagens ändamålsbestämning
Ändamålsbestämningens centrala betydelse för integritetsskyddet har medfört att det redan i dag finns en lagreglering i fråga om den personuppgiftsbehandling som sker i vårdregister. Som framgått i det föregående faller emellertid en hel del av hälso- och sjukvårdens behandling av integritetskänslig information om enskilda patienter utanför vårdregisterlagens tillämpningsområde. Från integritetssynpunkt är det enligt vår uppfattning inte tillfredsställande att det finns ett område där det är vårdgivaren som själv bestämmer för vilka ändamål personuppgiftsbehandling skall utföras. Inte minst gäller det sagda med tanke på att 18 § personuppgiftslagen tillsammans med den lagens övriga bestämmelser ger tämligen vida ramar för aktörer inom hälso- och sjukvården att utan den enskildes samtycke behandla känsliga personuppgifter för olika syften. Principiella skäl talar alltså med styrka för att lagstiftaren i patientdatalagen uttryckligen och så uttömmande som möjligt bestämmer ändamålen för all personuppgiftsbehandling som regleras i lagen, dvs. inte bara, som nu, när det gäller vårdregister. Vi föreslår därför en sådan reglering. Patientdatalagens ändamålsreglering blir därmed uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter skall samlas in i verksamheten, i vart fall inte utan den registrerades samtycke, se nedan i avsnitt 8.5.
Genom en uttrycklig reglering av för vilka ändamål personuppgifter får behandlas i verksamheten åstadkoms vidare en ökad tydlighet i regleringen, nog så viktigt i integritetshänseende. Dagens konstruktion med särreglering bara av viss personuppgiftshantering i vårdregister har, som bl.a. framhålls i våra första tilläggsdirektiv (dir. 2004:95), inneburit en del praktiska tillämpningssvårigheter och osäkerhet vid tolkningen av vårdregisterlagens ändamålsbestämmelser i förhållande till annan personuppgiftsbehandling inom hälso- och sjukvården för olika ändamål samt även, menar vi, i förhållande till 18 § personuppgiftslagen.
Vårt förslag till ändamålsbestämning innebär preciseringar i förhållande till bestämmelsen i 9 § första stycket c personuppgiftslagen. Inom ramen för patientdatalagens tillämpningsområde när det gäller vems personuppgiftsbehandling som regleras, se avsnitt 7.3.2, ersätter patientdatalagen18 § personuppgiftslagen i fråga om behandling av känsliga personuppgifter utan patientens eller annan registrerads uttryckliga samtycke.
Genom förslaget att ge patientdatalagen ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagens tillämpningsområde, har vi, med ett undantag, funnit det olämpligt att dela in ändamålen i primära och sekundära ändamål. Båda slagen av ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet. Som framgått i det föregående finns det i dag ganska stora möjligheter att med stöd av personuppgiftslagen samla in och behandla personuppgifter för ändamål som inte är primära enligt vårdregisterlagens kategorisering. En inskränkning av dagens möjligheter genom att göra vissa ändamål tillåtna enbart om de innebär en efterkommande behandling av redan insamlade personuppgifter, torde kunna medföra tillämpningssvårigheter som riskerar att hämma hälso- och sjukvårdens informationshantering på ett icke önskvärt sätt.
Vi menar vidare att det inte innebär ett försämrat integritetsskydd att även sådana ändamål som i dag faller vid sidan av den individinriktade verksamheten får vara primära. I allt väsentligt kommer det att även framgent handla om en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten. Detta överensstämmer helt med strävandena inom hälso- och sjukvården att förbättra och effektivisera verksamheten bl.a. genom att skapa en ändamålsenlig och enhetlig vårddokumentation som minskar det administrativa merarbetet inom hälso- och sjukvården.
Viktigt för våra överväganden är emellertid att den föreslagna lösningen i förhållande till gällande rätt inte innebär någon utvidgning av för vilka ändamål vårdgivare över huvud taget får behandla personuppgifter utan enskildas samtycke. Skillnaden gentemot gällande rätt är att även personuppgiftsbehandling som sker särskilt för ändamålen övergripande administration, planering, kvalitetssäkring, verksamhetsuppföljning, statistikframställning m.m. regleras i en särlag och inte bara av personuppgiftslagen. Därmed kommer även sådan personuppgiftsbehandling att bli kringgärdad av de ytterligare bestämmelserna i patientdatalagen som vi kommer att föreslå i det följande och som syftar till att ge ett gott integritetsskydd. Härigenom ökar integritetsskyddet i förhållande till vad som i dag gäller. I sammanhanget kan erinras om de stora möjligheter vårdgivare i dag har att utan den enskildes samtycke behandla känsliga personuppgifter med stöd av bestämmelsen i 18 § första respektive andra stycket personuppgiftslagen, se föregående avsnitt.
8.2.3. De särskilda ändamålen
Av personuppgiftslagen (och det bakomliggande dataskyddsdirektivet) följer ett krav på att ändamålen skall vara särskilda. Det ligger emellertid i sakens natur att ändamålsbestämmelser måste formuleras tämligen generellt när det som i detta fall gäller en särlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en så komplex, omfattande och mångskiftande verksamhet som här är i fråga. En detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar på området låter sig knappast göras och riskerar även att hämma utvecklingen av hälso- och sjukvårdens informationsförsörjning. I sammanhanget bör man hålla i åtanke att hälso- och sjukvården är en dynamisk verksamhet som ständigt förändras parallellt med att informationstekniken ständigt utvecklas och genererar nya möjligheter att förbättra verksamheten. Vi bedömer dock att de föreslagna ändamålen uppfyller direktivets krav på att vara särskilda, genom att de ger tillämparen ledning för bedömningen av vilka personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen.
Lagens ändamålsbestämmelser föreslås vara fakultativa i den bemärkelsen att de reglerar vad vårdgivare får göra. Syftet med ändamålsbestämningen är alltså att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av patientdatalagen och personuppgiftslagen. Inom denna ram måste vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av sin personuppgiftsbehandling. Hur stora krav på ändamålsbestämningen som kan ställas går inte att ange generellt. Samma krav kan exempelvis självfallet inte ställas då ett enda gemensamt journal- och patientadministrativt system införs i ett stort landsting som då ett nytt tillfälligt elektroniskt uppföljningsregister inrättas. I det senare fallet måste vårdgivaren bestämma avsevärt mer preciserade ändamål än vad patientdatalagens yttre ram tillåter. Exempelvis bör det i sistnämnt fall uttryckligen bestämmas att registret endast används som underlag för en viss avgränsad uppföljning.
Nedan följer en närmare beskrivning av de ändamål för vilka personuppgifter skall få behandlas enligt våra förslag. I praktiken flyter ändamålen ibland in i varandra; gränsdragningarna är inte skarpa. En och samma behandling av personuppgifter kan vidare ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner.
- Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall – Vårddokumentation
Den individinriktade patientverksamheten kräver en omfattande hantering av personuppgifter för att fungera ändamålsenligt så att en hög patientsäkerhet, god kvalitet och effektivitet i verksamheten kan upprätthållas. Det är därför en självklarhet att patientdatalagens ändamålsbestämning skall täcka in detta behov.
Att i detalj beskriva vilka olika typer av personuppgiftsbehandlingar och funktioner som behövs i patientverksamheten är emellertid inte möjligt. Grunden för informationshanteringen är visserligen ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal vid vård av patienter. Men att hänvisa till denna dokumentationsskyldighet är långt ifrån tillräckligt för att täcka in behoven av personuppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen.
Noteringar om hälsotillstånd och vårdåtgärder m.m. görs ibland av befattningshavare som inte har en skyldighet att föra patientjournal, t.ex. undersköterskor eller viss ambulanspersonal. Ibland dokumenterar patienten själv, eller en anhörig, uppgifter i elektroniska system som ingår i eller kan kopplas till vårdgivarens elektroniska journalsystem. Något heltäckande svar på huruvida sådan dokumentation formellt sett är en del av patientjournalen eller inte kan inte ges utan torde bero närmast på hur dokumentationen hanteras i stort. Oftast ingår dokumentationen som journalhandlingar i patientjournalen. En hel del personuppgifter kan emellertid behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter, på sätt som kan leda till tveksamheter om huruvida de utgör journalhandlingar eller inte. Även sådan dokumentation som nu nämnts och som faller vid sidan av skyldigheten att föra journal bör omfattas av ett ändamål som rör den individinriktade patientverksamheten alldeles oavsett dess formella status.
När det gäller t.ex. elektroniska patientjournaler handlar därutöver hälso- och sjukvårdens informationsbehov inte bara om själva dokumentationen i journalerna – journalföringen eller journaluppgifterna – utan också om hur uppgifterna skall behandlas i informations-
system för att vara tillgängliga och sökbara på ett ändamålsenligt sätt. Utvecklingen går mot att vårdgivarna introducerar allt bredare elektroniska informationssystem som integrerar patientjournalföring med annan dokumentation och med uppgifter som behövs i administrationen av patientvården m.m. I sådana system finns ibland behov av att sammanställa s.k. patientöversikter vari viss medicinsk basinformation och kontaktuppgifter kan finnas noterad tillsammans med sammanfattande uppgifter om tidigare vårdtillfällen, köplaceringar m.m. Sådana översikter, portaler och liknande är knappast något som omfattas av förpliktelsen att föra patientjournal. Personuppgiftsbehandling av denna typ bör emellertid omfattas av patientdatalagens reglering och det ändamål som avser den individinriktade patientverksamheten.
Såsom framförts redan i vårdregisterlagens förarbeten, är det ofta svårt att i praktiken göra en åtskillnad mellan dokumentation för ändamålet patientadministration och dokumentation för ändamålet patientjournalföring (prop. 1997/98:108 s. 64 f.). Inte heller går det, som nyss sagts, att dra en knivskarp gräns mellan journalföring på grund av en författningsenlig skyldighet och andra anteckningar om hälsotillstånd och vårdåtgärder m.m. Vi menar att detta inte heller är nödvändigt vid ändamålsbestämningen utan att det är mera lämpligt med en formulering för det individinriktade arbetet som kan täcka in samtliga de primära ändamål som i dag finns angivna i 3 § vårdregisterlagen. För enkelhetens skull kallar vi personuppgiftsbehandling för detta ändamål för vårddokumentation.
Tanken är således att ändamålet vårddokumentation i patientdatalagen inte skall innebära någon avvikelse från vad 3 § vårdregisterlagen omfattar när det gäller syftet med personuppgiftsbehandlingen. Det sagda gäller t.ex. innebörden av patientbegreppet samt vårdbegreppet. I förarbetena till vårdregisterlagen anges att med patient ”… avses den enskilde i hans kontakt med hälso- och sjukvården”. Denna innebörd är hämtad från patientjournallagens (1985:562) förarbeten (se prop. 1997/98:108 s. 95 och prop. 1984/85:189 s. 37). Det innebär t.ex. att en blodgivare är patient. Den individinriktade verksamheten kan avse såväl sjukdomsförbyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlingssyfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i samband med hälsoundersökning av personer som söker körkortstill-
stånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av patientdatalagens tillämpningsområde.
En skillnad gentemot vårdregisterlagen är dock att med administration i den för patientdatalagen föreslagna ändamålsbestämmelsen avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall. En av anledningarna till vårdregisterlagens åtskillnad mellan de båda slagen av administration är den lagens användning av begreppet personregister. I hälso- och sjukvården förekommer eller förekom i vart fall vid tiden för vårdregisterlagens införande särskilda personregister avsedda för patientrelaterad ekonomiadministration. Även sistnämnda register ansågs böra regleras av vårdregisterlagen. Den åsyftade ekonomiadministrationen kan avse dels ekonomiska regleringar mellan vårdgivare och patienter, dels olika slags interndebiteringar eller regleringar mellan sjukvårdshuvudmän och privata vårdgivare, faktureringar av externa myndigheter m.fl. (t.ex. Migrationsverket för vård av enskilda asylsökande m.fl.) och liknande ekonomiska mellanhavanden i anledning av utförd vård. Vi menar att en motsvarande åtskillnad mellan ekonomiadministration och patientadministration inte behövs i patientdatalagen och att all patientrelaterad administration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden, bör omfattas av samma ändamål.
Med ändamålet vårddokumentation avses inte bara själva insamlingen och registreringen av personuppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen (se definitionen av personuppgiftsbehandling i 3 § personuppgiftslagen).
- Utförande av annan dokumentation som följer av lag, förordning eller annan författning
Hälso- och sjukvård är en mångfacetterad sektor som involverar en stor mängd olika slags aktörer, inrättningar och aktiviteter. Detta avspeglas i att det finns en flora av lagar och förordningar samt en mängd föreskrifter och allmänna råd från myndigheter som handlingsdirigerar hälso- och sjukvården på specifika områden. I en del fall ställs särskilda krav på att viss dokumentation i olika slags verksamheter skall ske. I andra fall medför de handlingsdirigerande kraven behov av särskild dokumentation. Mycket av det sagda innefattar behandling av personuppgifter om enskilda patienter som omfattas
av det tidigare nämnda ändamålet vårddokumentation eller av t.ex. ändamålet intern tillsyn eller uppföljning, se nedan. Men det kan också uppstå tveksamheter angående om och i så fall vilket ändamål som är tillämpligt. En heltäckande redovisning av de olika slags specialförfattningar som här avses är inte möjlig att ge. Det sagda får i stället åskådliggöras genom några exempel i det följande.
Enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus åligger det verksamhetschefer på vissa sjukhusenheter att vidta vissa åtgärder. En åtgärd är att ställa som villkor för intagning på sjukhus att patienten går med på kroppsvisitation eller kontroll av försändelser. Vidare får berusningsmedel m.m. omhändertas och förstöras eller försäljas. Den sistnämnda åtgärden torde innefatta myndighetsutövning som skall dokumenteras enligt förvaltningslagens (1986:223) bestämmelser. Även föregående frivillig kroppsvisitation kan behöva dokumenteras i sammanhanget. Enligt vår uppfattning bör dokumentationen och personuppgiftsbehandlingen kunna anses falla in under ändamålet vårddokumentation, men den är ändå ett exempel på att tveksamheter kan uppstå.
Ett annat exempel på dokumentation som faller något vid sidan av ändamålet vårddokumentation är den interna avvikelserapportering som sker till följd av de s.k. Lex Maria-bestämmelserna i 2 kap. 7 § lagen om yrkesverksamhet på hälso- och sjukvårdens område. Bestämmelserna föreskriver att hälso- och sjukvårdspersonal skall rapportera till vårdgivaren om en patient drabbats eller utsatts för risk att drabbas av allvarlig skada eller sjukdom i samband med hälso- och sjukvård. Vidare är vårdgivare enligt Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården ålagda ett ansvar för att det finns ett antal preciserade rutiner för denna avvikelsehantering. Den personuppgiftsbehandling som avvikelsehanteringen föranleder befinner sig enligt vår uppfattning i en gränszon mellan ändamål såsom vårddokumentation respektive kvalitetssäkring samt ändamål som intern tillsyn och uppföljning, se nedan.
Ytterligare ett exempel är den personuppgiftsbehandling som sker på grund av Socialstyrelsens krav på anteckningar som behövs för smittspårning (smittspårningshandlingar) beträffande personer som en patient kan ha smittat, se 5 kap. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2005:23) om smittspårning.
Det finns en rad olika författningar som föreskriver att hälso- och sjukvården skall lämna ut uppgifter till olika myndigheter. Några
exempel på sådana specifika bestämmelser om uppgiftsskyldighet skall här nämnas.
I 2 kap. 11 § lagen om yrkesverksamhet på hälso- och sjukvårdens område regleras hälso- och sjukvårdspersonals skyldighet att på begäran lämna uppgifter till domstolar, polismyndighet, kronofogdemyndigheter, Vägverket m.fl. myndigheter. Enligt 6 kap. 4 § samma lag är vårdgivare skyldig att till Socialstyrelsen anmäla om en patient drabbats av eller utsatts för risk att drabbas av allvarlig skada eller sjukdom (Lex-Maria). En sådan anmälan innebär i allmänhet utlämnande av personuppgifter.
En annan uppgiftsskyldighet slås fast i 14 kap. 1 § socialtjänstlagen (2001:453). Där föreskrivs att både allmän och enskild hälso- och sjukvård samt varje enskild yrkesutövare inom hälso- och sjukvården har en skyldighet att till socialnämnd anmäla om de i sin verksamhet får kännedom om något som kan innebära att en socialnämnd behöver ingripa till ett barns skydd. Uppgiftsskyldigheten omfattar alla uppgifter som kan vara av betydelse för utredning av ett barns behov av skydd. Ytterligare ett exempel på författningsenlig uppgiftsskyldighet är förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande enligt vilken landsting och kommuner är skyldiga att lämna Migrationsverket de uppgifter som behövs för bedömningen av deras rätt till ersättning för hälso- och sjukvård till asylsökande m.fl. utlänningar. Slutligen kan nämnas lagen (1991:2041) om särskild personundersökning i brottmål vari föreskrivs en skyldighet för hälso- och sjukvården att lämna ut sådana uppgifter om en misstänkt som behövs i ett läkarintyg enligt samma lag.
Uppgiftsskyldighet av det slag som här nämnts kräver behandling av personuppgifter för utlämnandeändamål. Såvitt vi kan bedöma rör det sig i allt väsentligt om att uppgifter som redan finns i verksamheten lämnas ut. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Ett exempel är handlingar m.m. som lämnas till Socialstyrelsen i samband med styrelsens tillsyn enligt 6 kap. lagen om yrkesverksamhet på hälso- och sjukvårdens område. I viss mindre utsträckning – t.ex. vid fullgörande av uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen eller enligt 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen – torde det dock vara nödvändigt med en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten skall fullgöras och där man inte
kan tala om en ren ”återanvändning” av för andra ändamål redan insamlade personuppgifter.
De nämnda exemplen visar enligt vår mening att det kan uppstå tveksamheter angående vad som anses falla in under ändamålet individinriktad vårddokumentation eller något annat ändamål som i dag anges i vårdregisterlagen när dokumentationen sker enligt sådana specialförfattningar som här avses. Samtidigt är det fråga om personuppgiftsbehandling som sker av hälso- och sjukvårdspersonal i nära anslutning till det individinriktade patientarbetet. Vi menar därför att det kan behövas ett särskilt ändamål som uttryckligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten. Att ändamålen ibland är överlappande är som tidigare anförts inget problem i detta sammanhang.
Det kan noteras att det av tydlighetsskäl behövs en referens inte bara till dokumentation som följer av lag och förordning utan även till dokumentation som följer av myndighetsföreskrifter. Referensen i patientdatalagens ändamålsbestämmelse innebär givetvis inget bemyndigande för någon myndighet att meddela föreskrifter om dokumentation. Det decentraliserade ansvaret för hälso- och sjukvården har emellertid medfört att det finns en omfattande mängd närmare riktlinjer och föreskrifter från centrala förvaltningsmyndigheter såsom Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet. Dessa myndighetsföreskrifter meddelas med stöd av vidaredelegation i förordning utfärdad av regeringen, vars normgivningskompetens i sin tur härleds till regeringsformen eller lag.
- Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet – Kvalitetssäkring
Inom hälso- och sjukvården är begreppet kvalitet centralt. Att verksamheten skall vara av god kvalitet uppställs i hälso- och sjukvårdslagen (1982:763) som ett av de grundläggande kraven på all hälso- och sjukvård. Härmed avses bl.a. att vården skall hålla en god personell och materiell standard och ges i enlighet med vetenskap och beprövad erfarenhet (se prop. 1995/96:176 s. 27). Att vårdens resultat skall medföra förbättrad hälsa och hög patienttillfredsställelse är ett annat sätt att uttrycka kärnan i begreppet god vårdkvalitet
I 31 § hälso- och sjukvårdslagen föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande skall utvecklas och säkras. Motsvarande bestämmelser finns även i tandvårdslagen (1985:125). Genom dessa bestämmelser finns det således ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling. I det följande kallas denna verksamhet enbart kvalitetssäkring. Lagregleringen av kravet på kvalitetssäkring infördes år 1997 och innebär, enligt förarbetena, en förpliktelse för vårdgivare, såväl offentliga som privata, att utveckla metoder för att noga följa upp och analysera utvecklingen vad gäller kvalitet och säkerhet (a. prop. s. 53).
I sin tillsynsverksamhet följer Socialstyrelsen upp att hälso- och sjukvården samt tandvården har ändamålsenliga kvalitetssystem för egenkontroll i sin verksamhet. I tidigare nämnda föreskrifter om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården har Socialstyrelsen utfärdat närmare föreskrifter för det systematiska kvalitetssäkringsarbetet.
Kvalitetssäkringsarbete kan ske i många former och med olika metoder. I viss utsträckning kan hälso- och sjukvårdens kvalitet och resultat följas upp och utvärderas utan användning av uppgifter som direkt eller indirekt kan hänföras till en enskild person. Genom att behandla personuppgifter om patienter med användning av modern informationsteknik förbättras dock möjligheterna att bedriva kvalitetssäkringsarbete enormt. Ett särskilt ändamål som tillåter denna behandling bör därför införas i patientdatalagen.
I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring, som ett slags sekundärt ändamål. Men det förekommer också personuppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär användning av vårddokumentation utan handlar om personuppgifter som på olika sätt inhämtas och analyseras i det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen. Som tidigare nämnts utgör det dock inget problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling
sker, t.ex. i den information som patienter får om personuppgiftsbehandlingen.
En speciell form av kvalitetssäkringsarbete där särskild personuppgiftsinsamling inte sällan förekommer är hälso- och sjukvårdens kvalitetsregister. Dessa är elektroniska uppgiftssamlingar som används för jämförelser på olika nivåer av vårdens kvalitet m.m. I avsnitt 16 kommer vi att närmare beröra den form av kvalitetssäkringsarbete som sker gemensamt för mer än en vårdgivare i nationella eller regionala kvalitetsregister. Det kan här noteras att kvalitetssäkring utgör en form av verksamhetsuppföljning som är specialinriktad på kvalitetsfrågor. Verksamhetsuppföljning i stort omfattas av nästa ändamål. Vi har emellertid ansett att kvalitetssäkring bör anges i lagen som ett särskilt ändamål med tanke på den centrala roll som kvalitetssäkringsarbetet kommit att få inom hälso- och sjukvården. Dessutom kommer vi att i det följande föreslå särreglering i patientdatalagen för personuppgiftsbehandling i nationella och regionala kvalitetsregister, se avsnitt 16, vilket gör det lämpligt med kvalitetssäkring som ett särskilt ändamål. Redan här kan emellertid nämnas att vi kommer att föreslå särskilda bestämmelser om ändamål för de nationella och regionala kvalitetsregistren.
- Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten
Personuppgifter i en verksamhet bör få behandlas för att den personuppgiftsansvarige skall kunna fortlöpande eller vid särskilda tillfällen granska, utvärdera och utveckla sin verksamhet på olika nivåer. Vi föreslår därför ett generellt ändamål som tillåter detta. Som kommer att framgå i det följande avser ändamålet inte alltid bara interna angelägenheter hos en personuppgiftsansvarig, vilket understryker behovet av en särskild ändamålsbestämmelse.
Den individinriktade kärnverksamheten föranleder administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet. I detta arbete behövs inte sällan tillgång till individbaserade personuppgifter som framför allt härrör från verksamhetens vårddokumentation. I personuppgifts-
behandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person, t.ex. utesluts namn, bostadsadress och fullständigt personnummer. Likväl är det fråga om personuppgiftsbehandling.
Ett ytterligare område som alltmer kommit i fokus bl.a. som en följd av InfoVU-projektets arbete, se avsnitt 3.4.2, är kravet på att hälso- och sjukvården skall förbättra verksamhetsuppföljningen. Enligt regeringen bör denna bygga på individuppgifter och kunna beskriva vårdprocesser och verksamheter samt dess resultat (prop. 1999/2000:149 s. 52 f.). De senaste åren har präglats av en ökad medborgarorientering i verksamhetsuppföljningen som syftar till att stärka patienters, allmänhetens samt politiska eller administrativa beslutsfattares tillgång till information om vårdens resultat i olika avseenden. Tidigare var verksamhetsuppföljningen, inklusive kvalitetsregistren, i huvudsak inriktad på producenternas intresse av information om verksamhetens medicinska kvalitet, effektivitet och ekonomiska kostnader eller resultat. Som framgått av det sagda finns det ett påtagligt och enligt vår mening befogat behov av att kunna behandla personuppgifter för att få fram information om hälso- och sjukvårdsverksamheten. I allmänhet är det fullt tillräckligt att bara använda uppgifter från den individbaserade vårddokumentationen, med andra ord uppgifter som samlats in därför att de behövts i den individinriktade hälso- och sjukvården. Men det förekommer också att man följer upp resursanvändningen på individnivå genom att koppla samman vårddokumentation med andra uppgifter, t.ex. genom användning av metoden Kostnad Per Patient (KPP) som beräknar kostnader för olika insatser som utförs. I och med sammankopplingen mellan vårddokumentation och kostnadsinformation blir det fråga om något mer än enbart sekundär användning av redan insamlade personuppgifter.
I detta sammanhang bör noteras att vi använder begreppet verksamhetsuppföljning med en tämligen vidsträckt innebörd. Häri ingår det som i dag anges i 4 § 2 vårdregisterlagen om uppföljning, utvärdering och kvalitetssäkring på verksamhetsområdet. Eftersom kvalitetssäkring redan angetts som ett särskilt ändamål, se ovan, har vi valt att i den nu aktuella ändamålsbestämmelsen enbart använda begreppen uppföljning och utvärdering. I förarbetena till vårdregisterlagen anges att med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i ter-
mer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verksamhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna (prop. 1997/98:108 s. 66). Begreppen har i grunden samma betydelse i patientdatalagen. Det hindrar emellertid inte en mer medborgarorienterad verksamhetsuppföljning i linje med strävandena på senare år. I avsnitt 15 kommer vi att närmare beröra olika former av verksamhetsuppföljning som sker gemensamt för mer än en vårdgivare, främst avseende uppföljning på området vård och omsorg.
Ett annat område som bör få innefatta personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Att kontinuerligt eller på förekommen anledning granska och kontrollera att den egna verksamheten uppfyller samhällets krav och i övrigt bedrivs enligt vårdgivarens riktlinjer ingår i det ansvar som en vårdgivare har för verksamheten. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården ter det sig knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter. Av avsnitt 7.3.2 framgår att den tillsyn som utövas av Socialstyrelsen eller annan statlig myndighet inte avses med detta ändamål.
- Framställning av statistik rörande hälso- och sjukvård
I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppföljning m.m. därför att det är för dessa ändamål som statistiken skall användas. Särskilt landstingen torde dock framställa statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik bör därför anges som ett särskilt ändamål i patientdatalagen.
- Uppgiftsutlämnande och finalitetsprincipen
Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Sker det för syften som gäller den utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av ett ändamål som angetts i det föregående. Inte sällan sker utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. Många andra skäl till att uppgifter lämnas ut för mottagarens räkning finns naturligtvis, skäl som inte inryms i de ändamålsbestämmelser som hittills behandlats.
Utöver det utlämnande av personuppgifter som behandlats ovan i anslutning till ändamålet utförande av annan dokumentation som följer av lag, förordning eller annan författning och som sker till följd av sådana särskilt reglerade uppgiftsskyldigheter som avses i 14 kap. 1 § sekretesslagen eller 2 kap. 8–11 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område förekommer givetvis att uppgifter om enskilda lämnas ut till en rad olika organ för en mängd olika syften. Att heltäckande beskriva denna hantering låter sig knappast göras på det stora område som hälso- och sjukvården utgör. I detta fall rör det sig dock, såvitt vi kan bedöma, enbart om utlämnande av personuppgifter som redan finns i verksamheten insamlade för primära ändamål såsom vårddokumentation för att ta det vanligaste exemplet. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.
När det gäller den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 1 kap. 9 § sekretesslagen gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan ske utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Detta följer av principen om grundlags företräde framför vanlig lag och av 8 § personuppgiftslagen som gäller även vid personuppgiftsbehandling enligt patientdatalagen. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs givetvis också att sekretessen inte hindrar ett utlämnande.
Beträffande den allmänna hälso- och sjukvården följer vidare av 15 kap. 5 § sekretesslagen att en myndighet skall på begäran av annan
myndighet lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen. Bestämmelsen i 15 kap. 5 § sekretesslagen nämns i en kommentar till personuppgiftslagen som exempel på en sådan avvikande bestämmelse som gäller före personuppgiftslagen till följd av 2 § personuppgiftslagen (se Öman och Lindblom, Personuppgiftslagen – En kommentar, andra uppl., 2001, s. 45).
Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan hinder av sekretess. I sekretesslagen finns exempelvis bestämmelser i 14 kap. 2 § som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall. Sekretesslagen innehåller vidare bestämmelser om att uppgifter utan hinder av sekretess får lämnas till enskild.
Gemensamt för allt detta uppgiftslämnande är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande; alltså ett annat slags uppgiftslämnande än det som grundar sig på den särskilt reglerade uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen och 2 kap. 8–11 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område. När bestämmelser om sådant annat uppgiftsutlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften skall eller får lämnas ut. Det saknas därför anledning att i en integritetsskyddslagstiftning, som den nu föreslagna, generellt förhindra att personuppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper. Enligt vår uppfattning bör därför patientdatalagen inte hindra sådant uppgiftslämnade som här avses.
Det har, när det gäller personuppgiftsbehandling genom utlämnande, i olika sammanhang uppstått rättslig osäkerhet kring frågan om förhållandet mellan ändamålsbestämmelser i registerlagar, personuppgiftslagens finalitetsprincip, sekretesslagen och andra bestämmelser som påbjuder utlämnande eller tillåter att uppgifter lämnas ut utan hinder av sekretess. Förhållandet har bl.a. uppmärksammats av Offentlighets- och sekretesskommittén (OSEK) som i sitt huvudbetänkande med förslag till ny sekretesslag förordat ett klargörande
av rättsläget (SOU 2003:99 s. 230). För att undanröja motsvarande osäkerhet på hälso- och sjukvårdens område bör det i patientdatalagen finnas med en ändamålsbestämmelse som medger att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse föreslås således.
Vidare föreslås, i samma klargörande syfte, en uttrycklig hänvisning till finalitetsprincipens giltighet även vid personuppgiftsbehandling enligt patientdatalagen. Härigenom tydliggörs att patientdatalagens ändamålsreglering inte är helt uttömmande. Som sagts i förra avsnittet går det inte – på det stora tillämpningsområde som patientdatalagen kommer att ha – att helt överblicka alla de ändamål som redan insamlade personuppgifter kan komma att användas för. Genom hänvisningen till finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen, framgår att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än de som uttryckligen anges i patientdatalagen, om de nya ändamålen är förenliga med de tidigare ändamålen. Att eventuella nytillkomna ändamål inte får vara oförenliga med de i lagen angivna ändamålen ger enligt vår mening, tillsammans med bestämmelser om sekretess och tystnadsplikt, ett tillfredsställande integritetsskydd. I sammanhanget kan noteras att en motsvarande hänvisning till finalitetsprincipen finns i lagen (2003:763) om personuppgiftsbehandling inom socialförsäkringens administration.
Det finns alltså ett visst, begränsat utrymme att behandla personuppgifter för ett nytt ändamål som inte angetts vid insamlingen, nämligen om det nya ändamålet inte är oförenligt med de ursprungliga ändamålen. Datalagskommittén har i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 351) uttalat att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen eller Datainspektionen kan utfärda. Någon utvecklad praxis eller närmare föreskrifter i denna fråga finns emellertid inte ännu.
Vad som kan anses förenligt med ett ursprungligt ändamål har diskuterats i tidigare lagstiftningsärenden av främst Socialdatautredningen i dess betänkande Behandling av personuppgifter inom socialtjänsten (SOU 1999:109 s. 160). Enligt Socialdatautredningen bör man vid denna “oförenlighetsprövning” hypotetiskt utgå från hur en registrerad typiskt sett – inte den registrerade i det enskilda fallet – skulle se på saken. Kommer man vid en sådan bedömning fram
till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet.
Insamlade personuppgifter får också behandlas för historiska, statistiska eller vetenskapliga ändamål; det följer av finalitetsprincipen. Behandling för forskningsändamål av tidigare insamlade personuppgifter får således ske enligt patientdatalagen utan att det behöver anges som ett särskilt ändamål. I avsnitt 17 återkommer vi till frågor om användning av personuppgifter, som behandlas enligt patientdatalagen, i medicinsk forskning och annan forskning inom hälso- och sjukvården. Där kommer bl.a. framgå att det krävs ytterligare förutsättningar för att personuppgiftsbehandling för forskningsändamål skall vara tillåten, t.ex. patientens uttryckliga samtycke eller etikprövning.
8.2.4. Samkörning m.m.
I 6 § vårdregisterlagen finns en bestämmelse om samkörning. Enligt bestämmelsen får uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården hämtas till ett vårdregister genom samkörning. Dessutom får patientens läkemedelsförteckning, som förs enligt lagen (2005:258) om läkemedelsförteckning, samt uppgifter om patientens folkbokföringsadress hämtas till ett vårdregister genom samkörning. När en förskrivare med direktåtkomst till uppgifter i Apoteket AB:s läkemedelsförteckning hämtar hem uppgifter från förteckningen för att komplettera patientens elektroniska journal, är det alltså fråga om en samkörning. Vid samkörning med ett vårdregister som förs av en annan vårdgivare måste självklart även bestämmelserna om sekretess och tystnadsplikt i sekretesslagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område iakttas.
Vilka förfaranden som omfattas av begreppet samkörning är inte preciserat i lagstiftningen. Samkörning anges i 3 § personuppgiftslagen som ett av flera exempel på åtgärd som enligt den lagen är att anse som personuppgiftsbehandling. I vissa andra lagar, t.ex. i 5 § lagen (1996:1156) om receptregister, används begreppet sambearbetning.
Innebörden av de båda begreppen beskrivs i propositionen Behandling av personuppgifter inom socialförsäkringens administration (prop. 2002/03:135) enligt det följande (s. 58 f.).
Med sambearbetning (ofta används begreppet samkörning som synonymt med sambearbetning) avses maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig. Även annan direkt överföring av uppgifter från ett personregister till ett annat omfattas av bestämmelsen. Ett enklare sätt att uttrycka saken är att med sambearbetning avses att ett personregister tillförs personuppgifter från andra personregister (se Datalagen med kommentarer, Claes Kring och Sten Wahlqvist, Norstedts, 1989, s. 20 och 76).
Det bör noteras i sammanhanget att begreppen samkörning och sambearbetning närmast knyter an till den nu upphävda datalagens (1973:289) struktur för reglering av integritetsskyddet. Som huvudregel krävdes enligt datalagen tillstånd från Datainspektionen, författningsstöd eller den enskildes samtycke till samkörning av olika personregister. Personuppgiftslagen, som ersatt datalagen, innehåller däremot inte några särskilda bestämmelser om sambearbetning av personuppgifter från olika register eller databaser. En sådan personuppgiftsbehandling särskiljs alltså inte från annan behandling.
Enligt personuppgiftslagen är en sambearbetning tillåten så länge den håller sig inom personuppgiftslagens ramar, bl.a. med avseende på att sambearbetningen inte sker för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Finalitetsprincipen i 9 § första stycket d personuppgiftslagen kan alltså sägas ha ersatt särskilda bestämmelser om sambearbetning. Detta har haft till följd att sådana bestämmelser inte ansetts motiverade i nyare lagstiftning, t.ex. i lagen om behandling av personuppgifter inom socialförsäkringens administration eller lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Båda de nämnda lagarna saknar motsvarigheter till sina föregående registerlagars bestämmelser om sambearbetning.
Ibland har det dock ansetts befogat med sådana bestämmelser även i registerlagstiftning som är anpassad till personuppgiftslagens reglering. I 10 och 21 §§ förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten finns bestämmelser som förbjuder hem som drivs av Statens institutionsstyrelse att hämta personuppgifter från ett annat sådant hem genom samkörning. Motsvarande förbud mot samkörning finns när det gäller boende, en öppen verksamhet eller annan enhet i privat verksamhet. Någon begränsning
när det gäller annan samkörning eller samkörning över huvud taget inom kommunal socialtjänst finns inte.
Vårdregisterlagens bestämmelse om samkörning är inte formulerad som ett förbud mot viss samkörning eller mot annan samkörning än den i lagen angivna. Huruvida all annan samkörning är förbjuden eller inte är en tolkningsfråga.
Vår bedömning
När det gäller hälso- och sjukvård torde det inte sällan finnas behov av att samköra personuppgifter i olika register eller datasystem. Det saknas enligt vår mening anledning att befara att behandling i form av samkörning av uppgiftssamlingar kommer att ske för ändamål som inte anges i patientdatalagen eller är oförenliga med dessa ändamål. I stället framstår möjligheten till samkörning som en rimlig metod att höja effektiviteten och patientsäkerheten inom hälso- och sjukvården. Samkörning kommer dock bara att vara tillåten inom de ramar som ges av patientdatalagen samt sekretesslagen respektive bestämmelserna om tystnadsplikt i lagen om yrkesverksamhet på hälso- och sjukvårdens område. Sammantaget finns det enligt vår mening inte skäl att införa någon särbestämmelse i patientdatalagen som förbjuder eller annars begränsar möjligheterna att samköra eller sambearbeta personuppgifter som finns inom verksamheten. Inte heller i övrigt ser vi anledning att införa några begränsningar när det gäller sättet att samla in uppgifter i verksamhet som omfattas av patientdatalagens tillämpningsområde. Får uppgifter behandlas i verksamheten genom att samlas in för något eller några primära ändamål, får insamlandet ske i elektronisk form. Vi lämnar alltså inte något förslag i dessa avseenden.
8.3. Personuppgiftsansvar
Vårt förslag: I patientdatalagen införs en bestämmelse som anger att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Med vårdgivare avses även statliga myndigheter som bedriver hälso- och sjukvård. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Enligt definitionen i 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Av definitionen följer att personuppgiftsansvaret kan delas eller vara gemensamt för flera.
Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (23–27 §§personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).
I lag eller förordning kan bestämmas vem som är personuppgiftsansvarig. En sådan bestämmelse tar nämligen över regleringen i personuppgiftslagen (2 § personuppgiftslagen). I s.k. registerförfattningar om personuppgiftsbehandling i olika slags verksamheter har det ofta ansetts lämpligt från integritetssynpunkt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling som regleras i de särskilda lagarna. Ibland har detta också ansetts nödvändigt med tanke på att ändamålen anges i lagen i stället för att bestämmas av den ifrågavarande myndigheten, bolaget eller liknande. Som exempel på registerförfattningar vari personuppgiftsansvaret anges kan nämnas bl.a. lagen (1998:543) om hälsodataregister, lagen om behandling av personuppgifter i socialförsäkringens administration och lagen om läkemedelsförteckning.
När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. I stället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjukvården är vårdgivaren – t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjukvårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är person-
uppgiftsansvarig för den personuppgiftsbehandling som sker hos vårdgivaren.
I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för personuppgiftsbehandlingen, förutsatt att organet är så självständigt att det är en förvaltningsmyndighet. I flertalet registerförfattningar på det statliga och det kommunala området som reglerar personuppgiftsansvaret – se t.ex. 11 § förordningen om behandling av personuppgifter inom socialtjänsten – har myndigheter i stället för den juridiska personen staten eller kommunen pekats ut som personuppgiftsansvarig.
Vi menar att det är den mest lämpliga ordningen att personuppgiftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå. Därmed uppnås en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt tryckfrihetsförordningen, sekretesslagen och arkivlagen (1990:782).
Vilka myndigheter i landsting eller kommuner som är personuppgiftsansvariga för personuppgiftsbehandling i landstings eller kommuners hälso- och sjukvård kan inte anges generellt utan beror framför allt på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive landsting eller kommun, se 10 och 18 §§hälso- och sjukvårdslagen samt 11 § tandvårdslagen. I en kommun kan exempelvis självständiga distriktsnämnder var och en ansvara för verksamheten i sitt distrikt. Ansvaret kan vidare vara uppdelat mellan beställar- och utförarnämnder. Verksamhetsansvaret kan också vara samlat under en enda nämnd t.ex. en landstingsstyrelse. Även en gemensam nämnd enligt 3 kap. 3 a § kommunallagen (1991:900) eller lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet kan i princip vara personuppgiftsansvarig (prop. 1996/97:105 s. 59). Drivs verksamheten i ett sådant primär- eller landstingskommunalt aktiebolag, handelsbolag eller sådan ekonomisk förening eller stiftelse som avses i 1 kap. 9 § sekretesslagen, är det den juridiska personen – dvs. bolaget, föreningen eller stiftelsen – som är personuppgiftsansvarig. En statlig myndighet som bedriver viss hälso- och sjukvårdsverksamhet vid sidan av sin huvudsakliga verksamhet kan förstås också vara personuppgiftsansvarig, t.ex. Kriminalvården eller Statens institutionsstyrelse.
Väsentligt för alla de nämnda organen är att det inte är någon anställd eller personlig företrädare för vårdgivaren eller myndigheten som är personuppgiftsansvarig; ansvaret har organet som sådant. Detsamma gäller även om organet (myndigheten eller den privata
vårdgivaren) bedriver verksamhet i flera skilda vårdinrättningar eller liknande fristående enheter.
I och med att ramen för tillåten personuppgiftsbehandling sätts av lagstiftaren genom ändamålsbestämningen i stället för att de övergripande ändamålen bestäms av vårdgivaren, se avsnitt 8.2, kan man hävda att det finns ett behov av en generell och uttrycklig bestämmelse om vem som skall vara personuppgiftsansvarig vid behandling av personuppgifter (och uppgifter om avlidna) enligt patientdatalagen. De av oss föreslagna ändamålen skall emellertid ses som övergripande ramar. Inom dessa ramar har varje vårdgivare stora möjligheter och krav på sig att närmare precisera eller inskränka ändamålen för olika slags personuppgiftsbehandlingar som sker i den egna verksamheten. Förhållandena är alltså inte helt desamma som när det gäller t.ex. hälsodataregistren beträffande vilka regeringen detaljreglerat varje hälsodataregisters användningsområde och innehåll.
Ett skäl att ändå föreslå en uttrycklig bestämmelse är att det i vårt arbete framkommit att det inom hälso- och sjukvården finns en relativt utbredd osäkerhet om hur det förhåller sig med personuppgiftsansvar för främst vissa typer av personuppgiftsbehandlingar som inte faller in under vårdregisterlagens tillämpningsområde. Exempelvis förekommer i informationsblanketter till patienter att en person, t.ex. en verksamhetschef, ibland anges vara personuppgiftsansvarig för vissa personuppgiftsbehandlingar i en verksamhet trots att verksamheten som sådan helt klart faller under vårdgivarens formella ansvar. Genom en uttrycklig bestämmelse om vem som skall vara personuppgiftsansvarig vid behandling av personuppgifter kan man i framtiden undvika dylika oklarheter och missförstånd. Vi föreslår därför en sådan bestämmelse.
Enligt den föreslagna bestämmelsen skall en vårdgivare vara personuppgiftsansvarig för den behandling av personuppgifter som den utför. Med detta menas den personuppgiftsbehandling som sker inom ramen för vårdgivarens verksamhet och som vårdgivaren ansvarar för. I avsnitt 7.3.2 har vi föreslagit att begreppet vårdgivare definieras i lagen. Genom definitionen klargörs bl.a. att med begreppet vårdgivare avses inte den enskilde yrkesutövaren utan den juridiska eller fysiska person som bedriver och ansvarar för hälso- och sjukvårdsverksamheten. Häri ingår bl.a. sådana kommunala företag som avses i 1 kap 9 § sekretesslagen. Vidare har vi föreslagit att det klargörs i definitionen att med en vårdgivare i den statliga vården avses i patientdatalagen inte den juridiska personen staten utan den statliga myndighet som bedriver hälso- och sjukvården. På övriga nivåer är
det dock de juridiska personerna, landstingen och kommunerna, som är vårdgivare. Som framgått ovan anser vi emellertid att personuppgiftsansvaret bör förläggas på myndighetsnivå. Vi föreslår därför att i landsting och kommuner skall den myndighet som utför en personuppgiftsbehandling vara personuppgiftsansvarig för den.
På några områden, då personuppgiftsbehandling sker gemensamt eller för flera vårdgivares gemensamma räkning vid s.k. sammanhållen journalföring och i nationella eller regionala kvalitetsregister, återkommer vi till frågor om personuppgiftsansvar, se avsnitt 11.6 och 16.4.3.
8.4. Personuppgifter som får behandlas
Vårt förslag: Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs, får behandlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även inom privata vårdgivares verksamhet. I övrigt föreslås inga särbestämmelser om speciella personuppgiftskategorier.
Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Som tidigare framgått behandlas en mycket stor mängd personuppgifter av alla slag inom patientdatalagens tillämpningsområde. Behoven skiftar givetvis i hög grad beroende på en mängd olika förhållanden, såsom t.ex. vad det är för slags hälso- och sjukvård som bedrivs och hur omfattande vårdgivarens verksamhet är. Att närmare specificera vilka personuppgifter som generellt får behandlas i verksamheten ter sig mindre lämpligt.
Vi föreslår således inga bestämmelser som konkret anger vilka personuppgifter som får eller inte får behandlas enligt patientdatalagen. I stället föreslås att ändamålsbestämningen skall styra över vilka personuppgifter som får samlas in och fortsättningsvis behandlas. Alla personuppgifter som behövs för det ändamål för vilket en behandling utförs får därmed behandlas. Det gäller även sådana personuppgiftskategorier som särregleras i personuppgiftslagen, dvs. känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). Vi bedömer nämligen att det skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av IT inom hälso- och sjukvården att föreskriva
särskilda förutsättningar för att få behandla dessa slags personuppgiftskategorier. Den föreslagna ordningen är, menar vi, godtagbar från integritetssynpunkt, inte minst mot bakgrund av att de integritetskänsliga uppgifterna kringgärdas av en sträng sekretess som är ägnad att förhindra obehörig insyn och spridning.
Det bör noteras att personuppgiftslagens grundläggande krav på att personuppgifterna skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas skall vara riktiga och, om nödvändigt, aktuella gäller även vid behandling enligt patientdatalagen (9 § e–g personuppgiftslagen). Ovidkommande eller onödigt många personuppgifter i förhållande till ändamålen får alltså inte behandlas. Dessa krav innebär en såväl kvalitativ som kvantitativ begränsning i fråga om vilka personuppgifter som får behandlas. Kan en arbetsuppgift inom hälso- och sjukvården utföras på ett tillfredsställande sätt även om en personuppgift utelämnas, t.ex. personnummer, eller avidentifieras, är kraven enligt patientdatalagen och 9 § e och f personuppgiftslagen inte uppfyllda; personuppgiften behövs inte. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering skall personuppgiften behövas för ändamålet med just den senare hanteringen. Det sagda innebär t.ex. att även om en uppgift om en patients namn eller fullständiga personnummer behövs för ändamålet vårddokumentation, så kanske just dessa uppgifter inte behövs vid en senare behandling för ett annat ändamål.
Beträffande en personuppgiftskategori föreslår vi dock en uttrycklig bestämmelse i patientdatalagen, nämligen i fråga om personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Enligt 21 § personuppgiftslagen får bara myndigheter behandla sådana uppgifter. Det sagda gäller även om en enskild registrerad skulle samtycka till att annan än myndighet behandlar uppgiften.
Hos privata vårdgivare måste en journalförare kunna notera t.ex. att en patient, som vårdas för sitt alkoholmissbruk, har dömts för rattfylleri. Det kan vidare vara viktigt för privata vårdgivare att för olika ändamål kunna behandla en personuppgift om att en patient tvångsvårdats med stöd av särskild lagstiftning eller omfattas av ett beslut om förvar enligt utlänningslagen (2005:716) etc. Så torde anses gälla redan nu i fråga om vårdregister hos privata vårdgivare.
Vi menar emellertid att lagstiftningen vinner i tydlighet med ett klargörande i fråga om vad som gäller för just denna personuppgiftskategori.
I avsnitt 10.4.4 och i avsnitt 16.4.4 återkommer vi till frågor om vilka personuppgifter som får behandlas när det gäller vissa specifika uppgiftssamlingar, nämligen patientjournaler och kvalitetsregister.
8.5. Den enskildes inställning till personuppgiftsbehandlingen
Våra förslag: I patientdatalagen förtydligas att personuppgiftsbehandling enligt lagen får ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Vissa undantag följer av patientdatalagen.
Vidare föreskrivs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde registrerade uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning. Ett undantag följer av patientdatalagen, se avsnitt 11.3.6. Vidare föreslås att regeringen får meddela ytterligare undantag.
8.5.1. Inledning
Både i personuppgiftslagen och i dataskyddsdirektivet – som Sverige genom sitt medlemskap i EU är förpliktat att rätta sig efter – tillmäts den enskilde registrerades inställning till personuppgiftsbehandling som regel en central och avgörande betydelse. Båda regelverken innehåller bestämmelser som berör frågor om verkan av att den enskilde registrerade dels samtycker till, dels motsätter sig en personuppgiftsbehandling. Vårdregisterlagen saknar uttryckliga bestämmelser i dessa frågor.
Under vårt arbete har det i olika sammanhang framförts från aktörer inom hälso- och sjukvården att avsaknaden av tydliga bestämmelser i vårdregisterlagen leder till en hel del osäkerhet i den parallella tillämpningen av vårdregisterlagen och personuppgiftslagen. Den sistnämnda lagen gäller i den mån vårdregisterlagen saknar särbestämmelser. Särskilt osäker är man i fråga om vilket utrymme
som finns att behandla personuppgifter med den enskilde registrerades uttryckliga samtycke till personuppgiftsbehandlingen.
En reglering av förutsättningarna för personuppgiftsbehandling inom hälso- och sjukvården bör, menar vi, så långt möjligt vara klargörande i fråga om vad som gäller i dessa avseenden. Efter en redogörelse för den nuvarande regleringen, redovisar vi vår analys av gällande rätt och våra överväganden om hur frågeställningarna bör behandlas i patientdatalagen. Redan här kan framhållas att det inte finns något hinder mot att lämna förslag till bestämmelser som avviker från personuppgiftslagen, så länge som förslagen är förenliga med dataskyddsdirektivet. Det följer bl.a. av den uttryckliga bestämmelsen i 2 § personuppgiftslagen om att avvikande bestämmelser i annan lag eller förordning gäller före personuppgiftslagen.
8.5.2. Vad gäller i dag?
Behandling av personuppgifter är enligt personuppgiftslagen tillåten, om den enskilde registrerade har lämnat sitt samtycke till behandlingen (10 § personuppgiftslagen). Samtycke definieras i 3 § personuppgiftslagen såsom ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne”. Kravet på att samtycket skall vara särskilt innebär t.ex. att en registrerad inte kan lämna ett giltigt generellt samtycke till personuppgiftsbehandling som inte är preciserad till något eller några ändamål. Dessutom krävs att den registrerade först har informerats om behandlingen. Att samtycket skall vara en otvetydig viljeyttring anses innebära att det inte får råda någon tvekan om att den registrerade godtar personuppgiftsbehandlingen. Datalagskommittén framhöll angående detta rekvisit att s.k. hypotetiskt samtycke inte kan godtas hur välgrundad gissningen (hypotesen) än är (SOU 1997:39 s. 342). Inte heller kan en registrerad som inte utnyttjar en rätt att motsätta sig en personuppgiftsbehandling anses ha genom sin passivitet samtyckt till behandlingen. Däremot torde s.k. konkludent handlande kunna grunda ett giltigt samtycke enligt personuppgiftslagen (se bl.a. bet. 2000/01:KU19 s. 19). Konkludent handlande kan t.ex. innebära att en registrerad lämnar efterfrågade personuppgifter efter att ha fått information om den tilltänkta behandlingen och om att
uppgiftslämnandet är frivilligt. Om personuppgiftslagens krav på samtyckets utformning är uppfyllt, följer det av personuppgiftslagens huvudregel i 10 § att personuppgiftsbehandlingen är tillåten.
Även känsliga personuppgifter får behandlas med den enskilde registrerades samtycke till personuppgiftsbehandlingen. Samtycket skall dock vara uttryckligt. (15 § personuppgiftslagen). I annat fall gäller det generella förbudet i 13 § personuppgiftslagen mot att behandla känsliga personuppgifter. Att samtycket skall vara uttryckligt innebär dock inget krav på att det skall vara skriftligt eller att det skall dokumenteras. Muntligt samtycke är tillräckligt. Huruvida konkludent handlande i vissa fall kan anses utgöra ett uttryckligt samtycke är en omdiskuterad fråga. Enligt uppgift från Datainspektionen accepteras konkludent samtycke av inspektionen då en enskild, efter att ha fått tydlig information om personuppgiftsbehandlingen, frivilligt lämnar känsliga personuppgifter i enkätsvar.
När det gäller övriga personuppgiftskategorier kan nämnas att samtycke utan vidare gör behandling av personnummer eller överföring av personuppgifter till land utanför EU eller EES, dvs. till tredje land, tillåten (22 § respektive 34 § personuppgiftslagen). Undantag för samtycke finns dock inte från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § personuppgiftslagen).
Återkallar den registrerade ett lämnat samtycke, får ytterligare personuppgifter om denne inte behandlas såvida inte någon annan bestämmelse som tillåter behandlingen är tillämplig. Behandlingen av redan insamlade uppgifter får trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket (12 § första stycket personuppgiftslagen).
Som redan framgått av tidigare avsnitt finns emellertid tämligen stora möjligheter att även utan samtycke behandla personuppgifter inom hälso- och sjukvården. Flera av de rekvisit som gör personuppgiftsbehandling utan samtycke tillåten enligt 10 § personuppgiftslagen är ofta för handen, t.ex. punkten b) att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet (patientjournalföring) eller punkten d) att en arbetsuppgift av allmänt intresse skall kunna utföras. När det gäller känsliga personuppgifter följer dessutom av 18 § första stycket personuppgiftslagen att sådana uppgifter får behandlas utan den registrerades samtycke för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av
hälso- och sjukvård. Enligt andra stycket samma paragraf gäller dessutom att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga uppgifter från verksamhet inom hälso- och sjukvården.
I de fall personuppgiftslagen tillåter personuppgiftsbehandling utan den registrerades samtycke, har den registrerade ingen rätt att med rättslig verkan motsätta sig personuppgiftsbehandlingen. Det följer av 12 § andra stycket personuppgiftslagen.
Dataskyddsdirektivet
Personuppgiftslagen är den lag varigenom dataskyddsdirektivet genomförts i vår nationella lagstiftning. I allt väsentligt överensstämmer således regleringen i dataskyddsdirektivet med den nyss redovisade regleringen i personuppgiftslagen, bl.a. när det gäller verkan av att en enskild registrerad samtycker till en personuppgiftsbehandling, kraven på samtyckets utformning samt utrymmet till personuppgiftsbehandling utan den registrerades samtycke. Några bestämmelser i dataskyddsdirektivet har emellertid inte sin direkta motsvarighet i personuppgiftslagen. De bestämmelser som är av särskilt intresse i detta sammanhang är främst de som återfinns i direktivets artikel 8.2 a och artikel 14 a.
I artikel 8.2 a föreskrivs i princip detsamma som i 15 § personuppgiftslagen, nämligen att det generella förbudet mot att behandla känsliga personuppgifter inte gäller om den registrerade uttryckligen samtycker till personuppgiftsbehandlingen. Enligt artikeln får dock medlemsstater i sin nationella lagstiftning föreskriva att förbudet mot att behandla känsliga personuppgifter inte kan upphävas genom den registrerades samtycke.
Enligt artikel 14 a i dataskyddsdirektivet skall den registrerade tillförsäkras rätten att – i vart fall då personuppgifter får behandlas utan samtycke därför att en arbetsuppgift av allmänt intresse skall kunna utföras eller i samband med myndighetsutövning eller efter en intresseavvägning (artikel 7 e och f, jämför 10 § d–f personuppgiftslagen) – ”när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som
påbörjats av den registeransvarige inte längre avse dessa uppgifter”. Genom den tidigare berörda bestämmelsen i 12 § andra stycket personuppgiftslagen har registrerade uttryckligen fråntagits denna rätt såvitt gäller personuppgiftsbehandling med stöd av personuppgiftslagen. Den enskilde kan alltså inte med rättslig verkan motsätta sig personuppgiftsbehandling som är tillåten enligt personuppgiftslagen, t.ex. i fråga om hälso- och sjukvårdens behandling av känsliga personuppgifter utan den registrerades samtycke med stöd av 18 § och 10 §personuppgiftslagen.
Vårdregisterlagen
Vårdregister får föras oberoende av patientens inställning till personuppgiftsbehandlingen. Den enskilde registrerades samtycke till personuppgiftsbehandlingen krävs alltså inte. Något uttryckligt klargörande av detta förhållande finns dock inte i vårdregisterlagen. Det anses följa av lagens bestämmelser om förutsättningarna för att behandla personuppgifter i vårdregister. Regeringen uttalade i lagens förarbeten att en enskilds samtycke inte krävs för att personuppgifter skall få registreras i ett vårdregister. Vidare angavs att den enskilde inte heller skall ha rätt att få uppgifter strukna ur ett vårdregister (se prop. 1997/98:108 s. 82 f.).
Uttalandena ger vid handen att avsikten varit att den enskilde inte med rättslig verkan skall kunna motsätta sig någon personuppgiftsbehandling enligt vårdregisterlagen, inte heller t.ex. att uppgifter i elektroniska journaler används för ändamålet uppföljning eller övergripande administration.
Man kan fråga sig om det har någon rättslig betydelse att vårdregisterlagen saknar en uttrycklig reglering om att den enskilde inte med rättslig verkan kan motsätta sig personuppgiftsbehandling enligt vårdregisterlagen. Möjligen kan redan lagens ordalydelse anses – mot bakgrund av förarbetsuttalandena – innebära att den enskilde inte har någon sådan rätt.
8.5.3. Våra överväganden
Vad skall gälla om den enskilde motsätter sig personuppgiftsbehandlingen?
Lagrådet har i några lagstiftningsärenden rörande särlagar för myndigheters behandling av personuppgifter förordat att bestämmelser intas i lagarna som uttryckligen anger att den registrerade inte har rätt att motsätta sig personuppgiftsbehandlingen enligt särlagarna, se t.ex. prop. 2000/01:33 s. 346 och lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet eller lagen om behandling av personuppgifter inom socialförsäkringens administration. Lagrådet, och senare även regeringen, har därvid åberopat ett behov av en uttrycklig reglering mot bakgrund av vad artikel 14 a i dataskyddsdirektivet föreskriver om att den enskilde åtminstone i vissa fall skall garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning, se ovan.
I de fall sådana bestämmelser finns i särlagar kan det emellertid noteras att dessa särlagar avviker från personuppgiftslagen genom att tillåta ytterligare möjligheter att utan samtycke behandla personuppgifter, t.ex. känsliga sådana, än vad som ges i personuppgiftslagen. Så är enligt vår bedömning inte fallet när det gäller personuppgiftsbehandling enligt vårdregisterlagen vid en jämförelse med vad 10, 18 och 22 §§personuppgiftslagen möjliggör på hälso- och sjukvårdens område. Förhållandet på vårdregisterlagens tillämpningsområde avviker alltså från de nämnda särlagarna. Eftersom personuppgiftslagen gäller i den mån vårdregisterlagen saknar bestämmelser, torde det sagda innebära att bestämmelsen i 12 § andra stycket personuppgiftslagen – om att den enskilde inte har rätt att motsätta sig en personuppgiftsbehandling som är tillåten enligt personuppgiftslagen – gälla också vid personuppgiftsbehandling enligt vårdregisterlagen. Klart utläsbart hur det förhåller sig med denna sak är det förvisso inte, vilket är otillfredsställande från såväl lagteknisk som integritetsmässig synpunkt.
Enligt vår uppfattning bör lagtexten vara klargörande på denna punkt. Vi föreslår därför en uttrycklig bestämmelse i patientdatalagen som anger att personuppgiftsbehandling, som är tillåten enligt lagen, som huvudregel får utföras även om den enskilde registrerade motsätter sig den. I det följande kommer vi emellertid att föreslå att patienter i vissa fall skall kunna motsätta sig en personuppgiftsbehandling eller att ett samtycke krävs. Detta bör framgå redan i
patientdatalagens grundläggande bestämmelser om personuppgiftsbehandling.
Regleringen av hälso- och sjukvårdens verksamhet är omfattande och komplex. Det kan därför inte uteslutas att bestämmelser i annan lag eller förordning direkt eller indirekt ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av patientdatalagen. Även sådana bestämmelser bör gälla före patientdatalagens huvudregel. En sådan bestämmelse är förordningen (1986:198) om provtagning för infektion av HIV enligt vilken en patient kan begära att få vara anonym vid provtagning. I sådant fall gäller ingen skyldighet att föra in uppgift om patientens identitet i patientjournalen, se 3 § andra stycket 1 patientjournallagen. Förordningen ger alltså indirekt patienten en möjlighet att motsätta sig personuppgiftsbehandling av namn och personnummer.
Vad skall gälla om den enskilde samtycker till en personuppgiftsbehandling?
En fråga som över huvud taget inte behandlats i vårdregisterlagens förarbeten eller uttryckligen reglerats i den lagen är i vad mån personuppgiftsbehandling som inte klart stöds av vårdregisterlagens bestämmelser är förbjuden även om den enskilde lämnar sitt uttryckliga samtycke till personuppgiftsbehandlingen. Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl personuppgiftslagen som dataskyddsdirektivet (här bortses från vad som gäller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen). Som framgått ovan är dock EU-medlemsstaterna oförhindrade att åtminstone i fråga om känsliga personuppgifter upphäva verkan av den enskildes samtycke i detta avseende (artikel 8.2 a i dataskyddsdirektivet). Personuppgiftslagen – vars övergripande syfte är att skydda enskilda mot kränkningar av deras personliga integritet (1 §) – gäller som tidigare sagts om inget annat följer av vårdregisterlagen.
Frågan är då vad som kan anses följa av vårdregisterlagen. Enligt vår uppfattning är det av avgörande betydelse huruvida vårdregisterlagen anses utgöra ett sådant upphävande som avses i artikel 8.2 a dataskyddsdirektivet.
Flera gånger under utredningsarbetet har frågor uppkommit om vilken betydelse det kan ha om den enskilde uttryckligen samtycker
till en personuppgiftsbehandling inom hälso- och sjukvården. Många av de projektverksamheter avseende IT-användning som i dag drivs på olika nivåer inom hälso- och sjukvården, baseras på att patienter uttryckligen samtycker till personuppgiftsbehandlingen inom projekten. I dessa fall åberopas i allmänhet personuppgiftslagen till stöd för personuppgiftsbehandlingen när vårdregisterlagen inte ger direkt stöd för informationshanteringen. En fråga som ofta ställs är i vad mån den enskilde kan samtycka till att personuppgifter om honom eller henne i ett vårdregister samkörs med andra register än sådana som vårdregister enligt 6 § vårdregisterlagen får samköras med. En annan fråga som i ett fall prövats rättsligt är om vårdgivare får ge en patient elektronisk tillgång, direktåtkomst, till personuppgifter om sig själv i ett vårdregister. Fallet rörde ett landsting som avsåg ge de patienter som ansökte om det elektronisk tillgång till vissa patientjournaluppgifter m.m. De närmare omständigheterna kring fallet behandlas i avsnitt 3.3.2. Här skall bara anges att länsrätten fann detta stå i strid mot vårdregisterlagen, eftersom den lagen föreskriver att endast den som behöver det för att kunna utföra sitt arbete får ha direktåtkomst till ett vårdregister, se 8 § vårdregisterlagen. Vi är emellertid tveksamma till om 8 § vårdregisterlagen bör tolkas som en sådan bestämmelse i nationell lagstiftning som upphäver verkan av att den enskilde registrerade samtycker till en personuppgiftsbehandling; att ge enskilda registrerade direktåtkomst till personuppgifter om sig själva är nämligen att se som en personuppgiftsbehandling i sig. Det är, menar vi, en alltför vidsträckt tolkning av vårdregisterlagen i förhållande till vad som följer av personuppgiftslagens och dataskyddsdirektivets bestämmelser om när personuppgiftsbehandling är tillåten. I sammanhanget kan noteras att frågan inte berördes i vårdregisterlagens förarbeten. Däremot poängterades i förarbetena betydelsen från integritetssynpunkt med bestämmelsen om direktåtkomst. Särskilt angavs att bestämmelsen kan sägas motsvara 7 § patientjournallagen om inre sekretess och 2 a § hälso- och sjukvårdslagen om att vården skall bygga på respekt för patientens självbestämmande och integritet (prop. 1997/98:108 s. 76 och 99).
Enligt vår uppfattning kan ifrågasättas om det är rimligt att tolka lagstiftning – som syftar till att skydda enskildas personliga integritet – såsom in dubio innebärande ett absolut förbud mot sådan personuppgiftsbehandling som den enskilde registrerade uttryckligen samtycker till eller önskar, ja kanske t.o.m. ställer krav på. Särskilt
gäller detta i sådan lagstiftning som, i avsaknad av särbestämmelser, kompletteras av personuppgiftslagens bestämmelser enligt vilka uttryckligt samtycke med något undantag utgör laglig grund för personuppgiftsbehandling. Det sagda menar vi inte bara gäller i fråga om direktåtkomst utan även i fråga om andra bestämmelser i vårdregisterlagen.
I förarbetena till personuppgiftslagen berördes frågan om artikel 8.2 a i dataskyddsdirektivet och möjligheterna att i lagstiftning bestämma att förbudet mot behandling av känsliga personuppgifter inte kan upphävas genom den registrerades samtycke. Frågan uppkom med anledning av att en remissinstans, Arbetarskyddsstyrelsen, föreslagit att regeringen eller Datainspektionen skulle få möjlighet att i särskilda fall förbjuda behandling även om det finns samtycke. Enligt regeringens uppfattning finns det, när någon har lämnat ett frivilligt samtycke till en viss personuppgiftsbehandling, inte något integritetsskyddsintresse som gör det befogat att förbjuda den behandling som den registrerade och den personuppgiftsansvarige är överens om. Därför föreslogs inte någon sådan möjlighet som Arbetarskyddsstyrelsen föreslagit (prop. 1997/98:44 s. 69).
Vi menar att regeringens resonemang – som får anses ha principiell karaktär – har bäring även på personuppgiftsbehandling inom hälso- och sjukvården och att det alltså finns anledning att tillåta även sådan personuppgiftsbehandling som avviker från patientdatalagens bestämmelser, om den registrerade lämnar sitt uttryckliga samtycke till personuppgiftsbehandlingen, se avsnitt 8.5.2 ovan angående vilka krav som ställs på ett giltigt samtycke. Med ett uttryckligt samtycke kan t.ex. personuppgifter samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning.
Visserligen kan som ett skäl emot förslaget anföras att en enskild patient ofta befinner sig i ett utsatt läge eller annars i en svag position i sina kontakter med hälso- och sjukvården. Han eller hon kan därför komma att samtycka till en personuppgiftsbehandling utan att vara helt på det klara med konsekvenserna. Vi har dock inget fog för antagandet att möjligheten att inhämta patienters uttryckliga samtycke till särskilda personuppgiftsbehandlingar skulle missbrukas av vårdgivare. Vi föreslår därför den huvudregeln att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde registrerade uttryckligen samtycker till det. Vi har övervägt om det även bör införas ett krav på att samtycket skall vara skriftligt. Ett sådant krav skulle vara ägnat att inskärpa betydelsen av att den enskilde noga informeras om att den tilltänkta
personuppgiftsbehandlingen avviker från patientdatalagens bestämmelser. Vidare skulle framtida bevissvårigheter för vårdgivare minska, för det fall tvist senare uppstår huruvida ett uttryckligt samtycke från en patient förelegat eller inte. Dessa skäl talar dock inte med övervägande styrka för att införa ett skriftlighetskrav enligt vår mening. Ett sådant krav skulle vidare avvika från annan lagstiftning på området eller på näraliggande områden där samtycke uppställs som en legal förutsättning för en åtgärd. Vi föreslår därför inte ett sådant formkrav. Det hindrar naturligtvis inte att skriftligt samtycke ändå används i praktiken.
Liksom när det gäller frågan om verkan av att den enskilde motsätter sig personuppgiftsbehandlingen, bör förbehåll göras för att annat kan följa av patientdatalagen eller av annan lag eller förordning. I avsnitt 11.3 kommer vi att föreslå en bestämmelse som uttryckligen anger att en patient inte kan samtycka till en personuppgiftsbehandling i strid mot vissa av patientdatalagens bestämmelser. Vidare föreslår vi att regeringen ges en generell befogenhet att närmare kunna föreskriva ytterligare undantag som upphäver verkan av den enskilde registrerades samtycke till personuppgiftsbehandling. Utgångspunkten för att meddela sådana föreskrifter, bör vara att skydda enskilda från kränkningar av deras personliga integritet.
Avslutningsvis bör poängteras att den enskilde enligt vårt förslag naturligtvis bara kan uttryckligt samtycka till avvikelser från patientdatalagen rörande uppgifter om sig själv. Ett samtycke från patienten gör det således inte tillåtet att behandla även t.ex. uppgifter om patientens anhöriga i strid mot lagen eller att använda annars otillåtna sökbegrepp (se nästa avsnitt) i fråga om sökning bland andra personuppgifter än sådana som enbart rör patienten.
8.6. Sökbegrepp
Vårt förslag: Samma sökbegränsningar som i dag gäller enligt 7 § vårdregisterlagen skall gälla även vid behandling av personuppgifter enligt patientdatalagen. Det innebär att känsliga personuppgifter, som avses i 13 § personuppgiftslagen, samt personuppgifter om lagöverträdelser m.m., som avses i 21 § personuppgiftslagen, med vissa undantag inte får användas som sökbegrepp.
Undantagen, som fortfarande skall gälla, avser uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård
eller lagen (1991:1129) om rättspsykiatrisk vård. Dessa uppgifter får användas som sökbegrepp.
Härutöver gäller att uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen inte får användas som sökbegrepp.
Utan hinder av sistnämnda begränsningar får myndighet inom landsting och kommuner använda personuppgifter om etnicitet, bistånd eller andra insatser inom socialtjänsten eller åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar, om regeringen meddelar föreskrifter om det.
Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Vilka sök- och sammanställningsmöjligheter som finns har vidare betydelse för frågan om vilka handlingar som anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsförordningen. Varje sammanställning av elektroniskt lagrade uppgifter som myndigheten kan göra med hjälp av tillgängliga program är i princip att anse som en allmän handling hos myndigheten. Detta gäller även om det aldrig tidigare har existerat en sådan sammanställning och även om sammanställningen inte alls behövs för myndighetens egen verksamhet. Förutom redan existerande handlingar brukar man därför tala om s.k. potentiella handlingar. Tekniska begränsningar kan dock innebära att en tänkt sammanställning inte kan göras; en sådan är ingen allmän handling. Vidare kan en myndighets – och därmed också allmänhetens – möjligheter att få tillgång till sammanställningar av uppgifter som finns i myndighetens informationssystem underkastas rättsliga begränsningar. Denna regel, begränsningsregeln, syftar till att allmänheten inte med stöd av offentlighetsprincipen skall kunna göra anspråk på att få del av sådana sammanställningar hos myndigheten som myndigheten av hänsyn till skyddet för den personliga integriteten själv är förhindrad att ta fram, se 2 kap. 3 § andra stycket tryckfrihetsförordningen.
Den rättsliga metoden att åstadkomma sökbegränsningar och förbud för en myndighet att göra vissa sammanställningar av uppgifter som normalt används är att i registerförfattningar reglera vilka personuppgifter som får eller inte får användas som sökbegrepp.
Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funktion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till. Om exempelvis namnet på en viss sjukdom används för att söka fram eller sammanställa alla handlingar som innehåller detta ord, är namnet på sjukdomen ett sökbegrepp. Frågan om sökbegrepp är i princip intressant endast när det gäller information som behandlas elektroniskt, dvs. som finns lagrad på medium för automatiserad behandling. Informationsteknikens utveckling har medfört att sökmöjligheterna är i det närmaste obegränsade när det gäller elektroniskt lagrad information. Sammanställningar av uppgifter kan teoretiskt göras utifrån alla tänkbara sökkriterier som korresponderar med den lagrade informationen. Motsvarande sammanställningsmöjligheter saknas i praktiken helt när det gäller manuellt behandlad information som vanligen är sökbar endast utifrån ett fåtal kriterier.
Vårdregisterlagen – som reglerar både allmän och enskild hälso- och sjukvård – innehåller bestämmelser om sökbegrepp. Enligt 7 § vårdregisterlagen får inte sökbegrepp användas som utgör känsliga personuppgifter enligt 13 § personuppgiftslagen, dvs. som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Inte heller får personuppgifter som avses i 21 § personuppgiftslagen användas som sökbegrepp, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Vidare är det förbjudet att som sökbegrepp använda uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen. Från förbudet finns några undantag. Uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård får användas som sökbegrepp.
I förarbetena till vårdregisterlagen motiverades undantaget för sökbegreppen sjukdom och hälsotillstånd med att det är en värdefull tillgång hos datoriserad journalföring att genom sökning på begrepp som beskriver sjukdom och hälsotillstånd snabbt och effektivt finna relevanta journalanteckningar från patientens tidigare vårdtillfällen. Fördelarna med att tillåta sökning på dessa från integritetssynpunkt känsliga begrepp är så stora, menade regeringen, att intresset av en begränsning av sökmöjligheterna bör få vika. Vidare ansåg regeringen
att uppgifter om att patienten varit föremål för psykiatrisk tvångsvård eller rättspsykiatrisk vård är av särskilt intresse när det gäller användningen av ett vårdregister för andra ändamål än i och för patientens vård såsom uppföljning, utvärdering och kvalitetssäkring av psykiatrisk tvångsvård och rättspsykiatrisk vård. När det gäller sökbegränsningarna i fråga om insatser enligt socialtjänsten och åtgärder enligt utlänningslagen motiverades dessa endast med att de överensstämde med den då fortfarande gällande 4 § datalagen. I sammanhanget kan nämnas att även uttrycket ”sjukdom och hälsotillstånd” är hämtat från datalagen. Någon begreppsmässig skillnad gentemot 13 § personuppgiftslagen i vad avser uppgifter som rör hälsa synes inte ha varit avsedd (prop. 1997/98:108 s. 75).
Utan sökbegränsningar kan, som framgått av det föregående, vilka sökningar och sammanställningar som helst göras, t.ex. i fråga om patientuppgifter av mycket känslig art i hälso- och sjukvårdens informationssystem. Vårdgivare måste dock utforma datasystemen så att endast behörig personal kan utföra sökningar. Behörighetssystem som gör att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning) ger också ett skydd vid elektronisk personuppgiftsbehandling (se avsnitt 12). Hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § sekretesslagen förhindrar också som regel allmänhetens möjligheter att med stöd av offentlighetsprincipen få ut sammanställningar av integritetskänslig information. Den starka sekretessen innebär därmed i sig ett skydd mot just sådana integritetsintrång som obegränsade sökmöjligheter kan innebära på grund av tryckfrihetsförordningens bestämmelser om vad som utgör allmänna handlingar.
Vikten av att minimera risken för otillbörliga integritetsintrång medför emellertid, enligt vår uppfattning, att de sökbegränsningar som finns i vårdregisterlagen bör behållas. Därutöver bör sökbegränsningarna göras tillämpliga inte bara vid behandling av personuppgifter för vårdändamål etc. utan vid all behandling av personuppgifter som regleras i patientdatalagen.
Det sagda innebär att följande uppgifter inte får användas som sökbegrepp.
1. Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör sexualliv (13 § personuppgiftslagen).
2. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § personuppgiftslagen).
3. Uppgifter om att någon får eller fått bistånd eller andra insatser inom socialtjänsten.
4. Uppgifter om att någon är eller varit föremål för åtgärder enligt utlänningslagen.
I likhet med vad nuvarande bestämmelser i vårdregisterlagen slår fast, föreslår vi att uppgifter om sjukdom och hälsotillstånd bör få användas som sökbegrepp. I patientdatalagen bör detta undantag från förbudet mot att använda känsliga personuppgifter som sökbegrepp dock anpassas till personuppgiftslagens vokabulär genom att undantaget anges till uppgifter ”som rör hälsa”. Skälen för att tillåta uppgifter om hälsa som sökbegrepp är i princip desamma som angavs i vårdregisterlagens förarbeten, se ovan. Förutom i det individinriktade arbetet är det dessutom väsentligt att vid t.ex. verksamhetsuppföljningar kunna göra sammanställningar utifrån sökkriterier såsom diagnoser och liknande. Även vid t.ex. verksamhetsplanering behövs möjligheter att identifiera tendenser som är av betydelse för verksamheten, t.ex. i fråga om förväntningar på ökande tillströmning av olika patientkategorier. Patientdatalagen bör inte hindra sådan personuppgiftsbehandling. Vi förutsätter härvid att sammanställningar som används i dessa sammanhang snarast möjligt avidentifieras, eftersom individuppgifterna som sådana torde sakna betydelse för ändamålet med den fortsatta behandlingen.
Liksom enligt vårdregisterlagen bör vidare uppgifter om vissa administrativa frihetsberövanden inom psykiatrin och rättspsykiatrin få användas som sökbegrepp.
När det gäller sökbegränsningarna i fråga om insatser inom socialtjänsten och åtgärder enligt utlänningslagen är det i dessa fall fråga om uppgifter som inte generellt särbehandlas i personuppgiftslagen såsom särskilt integritetskänsliga, såvida de inte omfattas av 13 § eller 21 §personuppgiftslagen. Att en person vårdas eller tidigare har vårdats enligt lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall är exempel på uppgifter som är både en insats inom socialtjänsten och en uppgift som omfattas av 21 § personuppgiftslagens bestämmelse om administrativa frihetsberövanden. Det sistnämnda fallet torde vidare utgöra en uppgift som rör hälsa. Insatser inom socialtjänsten är emellertid ett långt vidare begrepp än uppgifter om vissa admini-
strativa frihetsberövanden som anknyter till socialtjänsten. Det kan t.ex. handla om en uppgift om att en äldre eller funktionshindrad patient får insatser inom socialtjänsten i form av särskilt boende. En sådan uppgift får inte användas som sökbegrepp, vare sig för att söka fram en enskild uppgift eller för att kunna göra en sammanställning rörande flera patienter.
Att en person tagits i förvar enligt utlänningslagen är, förutom en uppgift om en åtgärd enligt utlänningslagen, även en uppgift som avses i 21 § personuppgiftslagen. Åtgärder enligt utlänningslagen kan dock avse betydligt fler åtgärder än så. Det kan t.ex. röra en uppgift om att någon är inskriven hos Migrationsverket som asylsökande eller har ett tillfälligt eller permanent uppehållstillstånd, ett arbetstillstånd, en visering etc.
I utredningsarbetet har det framkommit att det i vissa fall finns behov av att kunna använda etnicitet som sökbegrepp för att kunna göra sammanställningar som landstingen behöver för att planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver. Ett exempel är gravida kvinnor från vissa geografiska områden i andra länder som löper särskilda hälsorisker, t.ex. att få diabetes, just på grund av sin bakgrund i dessa områden. Ett annat exempel är personuppgifter om etnicitet i anslutning till den nationella biobank för stamceller från navelsträngsblod som skall byggas upp vid Sahlgrenska universitetssjukhuset i Västra Götalandsregionen.
Vidare har Stockholms läns landsting till utredningen framfört att sökbegränsningen i fråga om åtgärder enligt utlänningslagen innebär svårigheter för landstinget att genom användning av modern informationsteknik få fram information om vårdinsatser åt asylsökande m.fl. som krävs för att landstinget skall kunna begära ersättning från staten enligt förordningen om statlig ersättning för hälso- och sjukvård till asylsökande eller förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. Enligt dessa förordningar är landsting skyldiga att lämna Migrationsverket de uppgifter som krävs för bedömningen av deras rätt till ersättning. Vi utesluter inte att även andra landsting kan ha motsvarande svårigheter att göra sammanställningar av information. Vidare är det inte heller otänkbart att det kan innebära vissa obefogade begränsningar för landsting och kommuner att kunna ta fram sammanställningar med personuppgifter avseende kommunal omsorg som utgör socialtjänst.
Vi har emellertid bedömt att det sagda inte utgör tillräckliga skäl att i patientdatalagen avskaffa de nuvarande sökbegränsningarna i fråga om etnicitet, insatser m.m. inom socialtjänsten och åtgärder
enligt utlänningslagen. Dessa uppgiftskategorier är av ömtålig art från integritetssynpunkt.
Däremot menar vi, i enlighet med det nyss sagda, att det bör vara möjligt för regeringen att närmare föreskriva sådana undantag från sökbegränsningarna som medger att landsting och kommuner kan göra vissa slags sammanställningar. En sådan föreskrift kan t.ex. avse sökningar på etnicitet för sammanställningar som behövs för att landstingen skall kunna planera eller göra riktade och uppsökande hälsovårdsinsatser till en viss flyktinggrupp. Ett annat exempel är sammanställningar som behövs för att landstingen skall kunna begära ersättning enligt förordningen om statlig ersättning för asylsökande m.fl. Något motsvarande undantag för privata vårdgivare finns det enligt vår mening inte behov av.
Det bör noteras att regleringen i fråga om sökbegrepp inte innebär begränsningar i fråga om vilka personuppgifter som får behandlas enligt patientdatalagen. Självfallet bör givetvis ändå iakttas sträng återhållsamhet när det handlar om att registrera och även i övrigt behandla sådana personuppgiftskategorier som inte får användas som sökbegrepp. Här kan erinras om den kontinuerliga prövning som skall göras av om uppgifterna behövs för ändamålen med varje behandling, se avsnitt 8.4.
8.7. Elektroniskt utlämnande av personuppgifter
Våra förslag: Med direktåtkomst avses i patientdatalagen – till skillnad från i vårdregisterlagen – en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgivares organisation. Direktåtkomst till personuppgifter som behandlas enligt patientdatalagen får bara förekomma i den utsträckning som anges i lag eller förordning. I patientdatalagen regleras vissa fall av tillåten direktåtkomst. Dessutom tas en uttrycklig bestämmelse in i patientdatalagen som förtydligar att personuppgifter får lämnas ut i annan elektronisk form än genom direktåtkomst, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.
8.7.1. Allmänt om elektroniskt utlämnande
I avsnitt 8.2 har vi föreslagit ändamål för vilka personuppgifter skall få behandlas hos vårdgivare. Inom ramen för dessa ändamål kommer det ofta att bli aktuellt att behandla personuppgifter om patienter genom att uppgifterna lämnas ut till en extern mottagare, dvs. till en mottagare som finns utanför den utlämnande vårdgivarens egen verksamhet. Utlämnandet kan t.ex. avse personuppgifter som begärts utifrån av en annan vårdgivare eller som annars skall överföras till en extern mottagare enligt någon särskilt reglerad uppgiftsskyldighet. Men det kan också handla om att uppgifter lämnas ut vid fullgörande av den egna verksamheten, t.ex. i samband med remisser, utskrivningar, kvalitetsregisterrapportering m.m.
Personuppgifter kan lämnas ut på olika sätt, t.ex. via pappersutskrifter från dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form, dvs. på medium för automatiserad behandling. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem. Alla varianter – elektroniska eller inte – utgör behandling av personuppgifter enligt begreppets definition i 3 § personuppgiftslagen.
Personuppgiftslagen, och det underliggande dataskyddsdirektivet, saknar särskilda bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs således inte.
I många registerförfattningar och andra författningar som reglerar personuppgiftsbehandling finns emellertid bestämmelser varav framgår inte bara i vad mån personuppgifter får behandlas genom att lämnas ut till en extern mottagare utanför myndigheten eller det personuppgiftsansvariga organet utan även när det får göras i elektronisk form till andra myndigheter eller till enskilda. Motivet för denna särreglering av sättet eller den särskilda tekniken för utlämnandet är att själva den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet sker på papper.
I denna typ av lagstiftning används ofta begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.
Det finns inte någon legaldefinition av begreppet direktåtkomst. Enligt en vedertagen uppfattning, som också lyfts fram i flera lagförarbeten, innebär direktåtkomst att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via Internet eller annat nätverk, och på egen hand kan söka efter information.
Vanligtvis innebär direktåtkomst ingen möjlighet att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser (se t.ex. prop. 2000/01:33 s. 110 f.). Ibland har mottagaren emellertid en möjlighet att kopiera eller ladda ner och så att säga ”hämta hem” informationen till sitt eget system och bearbeta den där (se t.ex. prop. 2001/02:144 s. 35 eller Domstolsdatautredningen, SOU 2001:100 s. 149).
I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, dvs. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa uppgifter skall överföras till A. Beslutet om varje överföring fattas i stället av mottagaren.
Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker i stället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direktåtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.
Direktåtkomst till personuppgifter som behandlas i datoriserade register eller andra uppgiftssamlingar av en annan myndighet har sedan lång tid betraktats som en särskilt integritetskänslig personuppgiftsbehandling. I än högre grad har utlämnande till andra än myndigheter, dvs. till enskilda, genom direktåtkomst ansetts medföra särskilda risker för de registrerade. Det förhållandet att den utlämnande myndigheten inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av, har genomgående åberopats som grund för att utifrån integritetssynpunkt särskilt reglera direktåtkomst (se t.ex. prop. 2001/02:144 s. 35 f. ).
Ett ytterligare skäl till särreglering och återhållsamhet när det gäller myndigheters direktåtkomst till andra myndigheter eller enskilda organs datoriserade personuppgiftssamlingar har varit att de upptagningar som direktåtkomsten avser normalt blir allmänna handlingar hos en mottagande myndighet redan i och med mottagarens tekniska möjlighet att ta fram informationen. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir således allmänhetens möjlighet att få tillgång till dessa uppgifter. Avser direktåtkomsten sekretessbelagda uppgifter hos den utlämnande myndigheten, måste inte bara sekretesslagen medge att uppgifterna lämnas ut till mottagaren. Av avgörande betydelse för integritetsskyddet är också att uppgifterna har ett godtagbart sekretesskydd även hos mottagande myndigheter (se prop. 2000/01:33 s. 111). Det kan här anmärkas att sekretess för personuppgifter enligt någon materiell bestämmelse i sekretesslagen i normalfallet inte automatiskt följer med då uppgifterna sprids utanför det verksamhetsområde vari uppgifterna sekretesskyddas, t.ex. genom direktåtkomst. Problematiken kring frågor om direktåtkomst och sekretess m.m. kommer att behandlas i avsnitt 11.4 och 11.5.
Annat utlämnande på medium för automatiserad behandling innebär, förenklat uttryckt, elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna t.ex. genom användning av e-post, utlämnande på diskett eller cd-rom eller genom filöverföring från ett datorsystem till ett annat via telenätet där beslut om överföringen fattas av den som lämnar ut uppgifterna. Som regel innefattar begreppet att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen. Bearbetningsmöjligheterna torde dock inte vara avgörande för huruvida det är fråga om ett utlämnande på automatiserat medium. Då en låst elektronisk handling skickas som bilaga i e-post eller om en cd-rom lämnas ut varpå lagrats information med kvalificerat kopieringsskydd etc. är det enligt vår uppfattning fråga om ett utlämnande på medium för automatiserad behandling. Till skillnad från vid direktåtkomst kan emellertid vid annat utlämnande på medium för automatiserad behandling en prövning ske i varje enskilt fall av huruvida uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnande.
Det har i tidigare lagstiftningsärenden påtalats att det i vissa fall kan vara svårt att dra en gräns mellan direktåtkomst och annat utlämnande i elektronisk form samt att skillnaderna på grund av den
tekniska utvecklingen kan vara på väg att bli försumbara (se t.ex. prop. 2000/01:33 s. 111 eller prop. 2004/05:164 s. 82).
Nämnden för elektronisk förvaltning, e-nämnden (numera VERVA, Verket för förvaltningsutveckling) har tagit fram en vägledning för elektroniskt informationsutbyte mellan myndigheter samt mellan myndigheter och företag. De myndighetsgemensamma principer som presenteras i vägledningen togs fram parallellt med en rättsutredning inom ramen för SAMSET-projektet. SAMSET-projektet har haft regeringens uppdrag att under ett inledningsskede ha ansvar för administrationen av elektroniska ID-handlingar, e-legitimationer, för elektronisk identifiering och elektroniska underskrifter inom statsförvaltningen. I projektet som leddes av Skatteverket deltog även Bolagsverket, Centrala studiestödsnämnden, Försäkringskassan, Riksarkivet och Statskontoret.
Resultatet av den nämnda rättsutredningen har presenterats i rapporten Elektroniskt informationsutbyte – myndighetsgemensamma frågor (Samsetrapport 2005:1). I rapporten beskrivs svårigheterna med gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling, vilken i dag bygger på närmast tekniska skillnader. I rapporten förordas att gränsdragningen i stället skall utgå från funktionella skillnader och att en annan terminologi skall användas. I den ovan nämnda vägledningen görs – med hänvisning till att vi och ytterligare en utredning (2005 års informationsutbytesutredning, Fi 2005:08) för närvarande överväger elektroniskt informationsutbyte genom bl.a. direktåtkomst – bedömningen att en lösning på avgränsningsfrågorna bör kunna förväntas inom kort.
8.7.2. Nuvarande reglering
Som framgått i det föregående saknar personuppgiftslagen särskilda bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form i stället för på papper. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs inte heller i sekretesslagen, lagen om yrkesverksamhet på hälso- och sjukvårdens område eller i patientjournallagen (1985:562); centrala lagar för hälso- och sjukvårdens informationshantering.
Vårdregisterlagen innehåller däremot bestämmelser både om direktåtkomst och om annat utlämnande på medium för automatiserad behandling. I 8 § vårdregisterlagen föreskrivs att endast den som för
ändamål som anges i lagen behöver tillgång till uppgifterna för att kunna utföra sitt arbete får ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Som framgått redan i avsnitt 8.5 är bestämmelsen närmast en reglering av inre sekretess i form av en behörighetsreglering av tillåten elektronisk åtkomst inom en vårdgivares verksamhet och inte en bestämmelse om ett speciellt sätt att elektroniskt lämna ut personuppgifter till en extern mottagare.
I 9 § anges när uppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling. Så får ske om de skall användas för ändamål för vilka vårdregister får föras, vilka motsvarar ändamålet vårddokumentation, se avsnitt 8.2. Detsamma gäller om uppgifterna skall användas för framställning av statistik, administration på verksamhetsområdet, uppföljning, utvärdering eller kvalitetssäkring eller om uppgifterna skall lämnas på grund av att uppgiftsutlämnande som föreskrivs i lag eller förordning. Slutligen får uppgifter lämnas på medium för automatiserad behandling om de skall användas för forskning. Möjligheterna att elektroniskt lämna ut uppgifter som finns i ett vårdregister på annat sätt än genom direktåtkomst och som kan lämnas ut utan hinder av sekretess är alltså ganska stora. Någon skyldighet att lämna ut personuppgifter på medium för automatiserad behandling finns dock inte föreskriven, varken i vårdregisterlagen eller i någon annan lag av intresse i sammanhanget.
När det gäller annan elektronisk personuppgiftsbehandling än sådan som regleras i vårdregisterlagen gäller varken något förbud mot eller en skyldighet att lämna ut uppgifter elektroniskt. Inom den allmänna hälso- och sjukvården gäller det s.k. utskriftsundantaget i 2 kap. 13 § tryckfrihetsförordningen varav följer att en myndighet inom hälso- och sjukvården själv bestämmer i fråga om sättet att lämna ut en allmän handling som myndigheten förvarar i elektronisk form. Det beslutet bör tas med beaktande av syftet med utskriftsundantaget som är att skydda enskildas integritet vid s.k. massuttag. Kan utlämnandeformen användas utan otillbörliga integritetsintrång, finns det alltså inget som hindrar ett elektroniskt utlämnande.
Självklart gäller vid allt elektroniskt utlämnande inom hälso- och sjukvården – via direktåtkomst eller på annat sätt – höga krav på att det sker under säkerhetsmässigt godtagbara former.
8.7.3. Våra överväganden
Direktåtkomst
Som framgått förekommer i registerförfattningar att begreppet direktåtkomst används för att beskriva dels en speciell form av elektroniskt utlämnande till en extern mottagare, dels personalens elektroniska tillgång till personuppgifter som behandlas inom en organisation. Sådan ”intern” tillgång – som i dag regleras i vårdregisterlagen med begreppet direktåtkomst – benämns i fortsättningen för elektronisk åtkomst. Även sådan åtkomst kommer att behandlas i det följande, främst i avsnitt 12. Med begreppet direktåtkomst avser vi alltså endast en speciell form av elektroniskt utlämnande.
Vi delar uppfattningen som nämnts i det föregående om att det kan vara svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive utlämnande på medium för automatiserad behandling. Vi instämmer också i att det finns ett behov att se över dessa frågor. En sådan översyn måste emellertid anses falla utanför vårt uppdrag. Dessutom används dessa begrepp i ett antal författningar, varför det enligt vår uppfattning framstår som lämpligt att frågorna utreds i särskild ordning.
Enligt vår uppfattning är emellertid direktåtkomst och annat utlämnande på medium för automatiserad behandling i avvaktan på en sådan översyn användbara begrepp för reglering av olika sätt att lämna ut personuppgifter. Vi kommer därför att använda dessa begrepp i patientdatalagen.
När det gäller den närmare åtskillnaden mellan direktåtkomst och annat elektroniskt utlämnande anser vi att utgångspunkten inte bör vara hur en informationsöverföring tekniskt arrangeras.
Avgörande för åtskillnaden bör i stället vara huruvida den som ansvarar för förvaringen och det formella utlämnandet av en viss elektronisk informationsmängd vid varje givet överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om överföring och en sekretessprövning avseende den information som mottagaren i det enskilda fallet får del av. Förutsatt således att dessa aktiviteter inte sker genom något slags teknisk automatik, anser vi att det är fråga om annat elektroniskt utlämnande än direktåtkomst även om utlämnandet måhända sker rutinmässigt.
Är det i stället mottagaren som vidtar dessa manuella åtgärder vid ett givet överföringstillfälle i anslutning till att denne elektroniskt bereder sig tillgång till information, handlar det om direktåtkomst.
Det kan men behöver således alls inte vara fråga om att mottagaren har helt ”fri” tillgång till hela eller delar av utlämnarens uppgiftssamling för att det skall vara fråga om direktåtkomst. Exempelvis är det enligt vår uppfattning fråga om direktåtkomst även vid system för elektroniskt informationsutbyte som bygger på att den som vill ha information skickar en förfrågan till systemet och utifrån vissa förutsättningar kan få svar med den begärda informationen utan att någon person hos utlämnaren tar emot och effektuerar förfrågan.
Med direktåtkomst i patientdatalagens mening kan alltså avses olika slags system med varierande tekniska och organisatoriska lösningar för tillgång till personuppgifter.
Carelinks projekt Nationell Patientöversikt är ett exempel på ett system som inte innebär ”klassisk” direktåtkomst till alla uppgifter i ett register eller en databas. I detta system görs lokalt lagrad vårddokumentation – med patientens samtycke – potentiellt sett tillgänglig för andra vårdgivare som är anslutna till systemet. När en behörig befattningshavare hos en annan vårdgivare vill ta del av information om en patient, intygar befattningshavaren elektroniskt, genom en knapptryckning, att han eller hon har patientens samtycke. Härigenom samt genom en automatiserad behörighetskontroll m.m., ”beviljas” åtkomsten och befattningshavaren kan söka sig fram till och ta del av så pass mycket information som han eller hon väljer att ta fram av den totalt tillgängliga informationsmängden. I systemet finns vidare en särskild loggningsfunktion för nödlägen via vilken uppgifter kan bli elektroniskt tillgängliga utan att man anger att man har patientens samtycke. Inte heller i dessa fall görs någon manuell bedömning hos utlämnaren. Även den Nationella patientöversikten bygger alltså på att uppgifter lämnas ut genom direktåtkomst.
Vi menar att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter som hanteras inom hälso- och sjukvården. Det finns därför anledning att genom reglering i patientdatalagen uttömmande klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör bara få ske i den utsträckning som anges i lag eller förordning.
Vi kommer längre fram i detta betänkande att lämna vissa förslag på direktåtkomst som vi funnit bör införas. Även sekretessproblem som är förknippade med direktåtkomst behandlas i det följande liksom direktåtkomstens förhållande till bestämmelser i tryckfrihetsförordningen och arkivlagen.
Vi utesluter dock inte att det på vissa specialområden inom hälso- och sjukvården kan finnas skäl att tillåta ytterligare direktåtkomst än de vi föreslår. Det får emellertid utredas och övervägas i särskild ordning.
Annat utlämnande på medium för automatiserad behandling
De skäl som från integritetssynpunkt gör det befogat att särreglera direktåtkomst väger enligt vår uppfattning avsevärt lättare när det handlar om annat elektroniskt utlämnande. Den stränga hälso- och sjukvårdssekretessen, som närmare kommer att behandlas i bl.a. avsnitt 11.5, och motsvarande bestämmelser för den privata hälso- och sjukvården i lagen om yrkesverksamhet på hälso- och sjukvårdens område utgör enligt vår uppfattning ett starkt integritetsskydd. Exempelvis förekommer inte massuttag av stora mängder personuppgifter till mottagare utanför hälso- och sjukvårdssektorn vars fortsatta elektroniska bearbetning av uppgifterna inte bör underlättas. Man kan inte heller bortse från dagens möjligheter för en mottagare att skanna in och därefter bearbeta även uppgifter som lämnats ut på papper. Att generellt begränsa hur uppgifter får lämnas ut, riskerar vidare att hämma effektiviteten i hälso- och sjukvårdens informationshantering på ett sätt som inte står i proportion till de vinster som kan finnas ur integritetssynpunkt.
Enligt vår uppfattning är tiden alltså mogen för att avskaffa den begränsning som i dag finns i 9 § vårdregisterlagen när det gäller användning av modern IT för utlämnande av uppgifter som finns i vårdregister. Det kan påminnas om att det sagda självfallet bara gäller sättet för utlämnande. Huruvida uppgifterna alls får lämnas ut bestäms som tidigare av andra regler, bl.a. i sekretesslagen. Vidare krävs givetvis även att elektronisk kommunikation m.m. sker under former som garanterar en hög säkerhetsnivå.
Vi föreslår således inte några ytterligare begränsningar som reglerar själva sättet för utlämnande än de som gäller direktåtkomst. I stället bör det ankomma på vårdgivarna själva att efter en lämplighetsprövning avgöra valet mellan en automatiserad överföring, t.ex. via e-post, och annan överföring, t.ex. via post eller telefax. Den prövningen måste givetvis ta hänsyn till vilka risker ur säkerhets- och integritetssynpunkt som finns och väga dessa mot eventuella vinster från t.ex. effektivitetssynpunkt. Det är dock inte givet att ett utlämnande på papper via post, bud eller telefax alltid garanterar en högre
säkerhet än vad t.ex. e-post till en känd mottagare gör. Känner man till att mottagaren kommer att i sin tur mata in uppgifterna på dator, finns vidare risker för överföringsfel som i sig kan vara negativa ur integritetssynpunkt.
Eftersom vårt förslag avviker från vad som hittills gällt inom vårdregisterlagens tillämpningsområde bör, av tydlighetsskäl, en uttrycklig bestämmelse tas in i patientdatalagen enligt vilken personuppgifter får lämnas ut på medium för automatiserad behandling i annan form än genom direktåtkomst, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.
9. En sammanhållen journal
9.1. Vårt uppdrag
Större delen av den personuppgiftsbehandling som äger rum inom hälso- och sjukvården avser personuppgifter som primärt samlas in för att dokumenteras i en patientjournal. Hur patientjournalföringen regleras är därför av avgörande betydelse för utformningen av lagstiftningen om personuppgiftsbehandlingen inom hälso- och sjukvården i stort.
Frågor om den närmare regleringen av patientjournalföringen behandlas i nästföljande avsnitt, avsnitt 10. I detta avsnitt behandlas enbart frågan om det bör införas sammanhållna patientjournaler, dvs. journaler som förs av alla eller flera vårdgivare i ett gemensamt elektroniskt system, t.ex. i form av en gemensam patientdatabas.
Enligt våra första tilläggsdirektiv (dir. 2004:95) skall vi analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patientjournal för varje patient. Om vi finner att en för alla vårdgivare sammanhållen journal är ändamålsenlig utifrån patientsäkerhet, förbättrad uppföljning, begränsad administration samt dessutom förenlig med skyddet av den personliga integriteten, skall vi lämna nödvändiga författningsförslag. Om vi finner att en sammanhållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall vi granska och analysera förutsättningarna i övrigt för informationsöverföring inom hälso- och sjukvården m.m.
9.2. Visionen ”En patient – en journal”
Idén om en framtida elektronisk sammanhållen journal för varje patient som är gemensam för samtliga vårdgivare, på nationell eller regional nivå, har under de senaste åren blivit en vision som successivt fått en bredare uppslutning i den allmänna debatten om hälso-
och sjukvården. Som exempel härpå kan anföras att vid de hearingar med företrädare för patientorganisationer som vi anordnat, har flertalet förklarat att de ställer sig positiva till införandet av för flera vårdgivare sammanhållna patientjournaler i en eller annan form.
En uttalad målsättning för mycket av det utvecklingsarbete som nu pågår på olika håll och på olika nivåer är att all dokumentation i form av patientjournalföring skall kunna ske i en och samma journal som följer patienten i livets alla vårdkontakter med olika vårdgivare. I t.ex. Socialstyrelsens och Sveriges Kommuner och Landstings InfoVU-projekt har man formulerat visionen på följande tvåfaldiga sätt. ”En patient – en journal” och ”En journaluppgift – en journalplats”. Det långsiktiga målet är att skapa en ändamålsenlig vårddokumentation som ger tillförlitlig och användbar information för olika aktörer och som följer patienten hela livet (framfört muntligen exempelvis på konferensen Ändamålsenlig vårddokumentation den 2 december 2003).
I den allmänna debatten framförs då och då ståndpunkten att journalen bör frikopplas från vårdgivaren och i stället vara knuten till och följa patienten. I förarbetena till lagen (2005:258) om läkemedelsförteckning anförs bl.a. att en tänkbar väg att öka patientsäkerheten på läkemedelsområdet skulle vara att inrätta ett system med journalföring knuten till patienten och inte till den vårdenhet som patienten besöker (prop. 2004/05:70 s. 20). Ett sådant system skulle, enligt propositionen, kunna innebära en möjlighet att samla all information om den enskilde på ett ställe. Informationen skulle med patientens medgivande göras tillgänglig för senare förskrivare och även för farmaceuter. Detta kräver emellertid omfattande och delvis omvälvande lagändringar som bl.a. berör patientjournallagen (1985:652). I propositionen påpekas att de utredningar och analyser som är nödvändiga för att överväga lagändringar saknas i dagsläget men ingår i den redan tillsatta Patientdatautredningens uppdrag. Vid utskottsbehandlingen av propositionen väcktes ett antal motioner med förslag i linje med denna tanke (bet. 2004/05:SoU13 s. 8 f.). Bl.a. föreslogs ett nationellt elektroniskt system för patientjournaler som är knuten till patienten och inte till vårdenheten (motion So7) och om patientknutna smartkort (motion So8).
Det framförs också ibland åsikter om att det är patienten som bör äga eller ha förfoganderätten till uppgifterna i sin journal och att vårdgivaren närmast bör ha rollen som en förvaltare av uppgifterna åt patienten. I dessa sammanhang brukar anföras att det främst är tryckfrihetsförordningen och dess regler om allmänna handlingar
samt sekretesslagens (1980:100) krav på menprövning som utgör juridiska hinder mot den föreslagna ordningen. Vidare anförs att det är olyckligt att olika regler gäller för journaler i allmän respektive enskild hälso- och sjukvård. Det bör därför övervägas, menar man, att undanta patientjournaler i den allmänna hälso- och sjukvården från tryckfrihetsförordningens tillämpningsområde (se t.ex. Socialstyrelsens remissyttrande den 31 augusti 2004 över Offentlighets- och sekretesskommitténs huvudbetänkande Ny sekretesslag [SOU 2003:99] och InfoVU-projektets rapport Rättsfrågor med anknytning till IT i vård och omsorg, Socialstyrelsen november 2005, s. 55 f.).
9.3. Nuvarande reglering och tidigare utredningar
9.3.1. Vad säger nu gällande reglering av patientjournalföringen om sammanhållna patientjournaler?
Dokumentationen och den fortsatta hanteringen av personuppgifter i patientjournaler omfattas av en mosaik av rättsregler. Grundläggande bestämmelser om all patientjournalföring inom hälso- och sjukvården finns i patientjournallagen. Lagen ställer bl.a. krav på journalernas utformning, innehåll och hantering. Den gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt.
I 1 § patientjournallagen slås det fast att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. En patientjournal är individuell och skall föras för varje enskild patient. Den får alltså inte vara gemensam för flera patienter, något som framgår direkt av lagens lydelse. Däremot kan det finnas flera journaler för en och samma patient. Enligt lagens förarbeten finns det dock inget hinder mot att de som deltar i vården av en patient för en gemensam patientjournal för patienten (prop. 1984/85:189 s. 37). Enligt en allmän uppfattning bland företrädare för hälso- och sjukvården medger patientjournallagen emellertid inte att personal hos olika vårdgivare, eller för den delen olika myndigheter som tillhör samma vårdgivare (t.ex. ett landsting), för patientjournal tillsammans. Något uttryckligt förbud häremot finns dock inte i patientjournallagen.
Patientjournallagen är som tidigare sagts teknikoberoende. Till den del journalföring sker elektroniskt, är även bestämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen) och personupp-
giftslagen (1998:204) tillämpliga på den personuppgiftsbehandling som patientjournalföringen innebär.
Förs en patientjournal elektroniskt, innebär det att den ingår i ett vårdregister. Begreppet vårdregister definieras inte närmare i vårdregisterlagen. Det är därför svårt att utläsa huruvida en vårdgivare kan ha flera eller bara ett vårdregister i lagens mening. I praktiken är det dock vanligt att stora vårdgivare såsom landstingen inom sitt område har flera från varandra helt separata journalsystem som vart och ett skulle kunna betraktas som ett register. Landsting eller kommuner som bedriver hälso- och sjukvårdsverksamhet inom ramen för flera nämnder som var och en utgör en självständig förvaltningsmyndighet har normalt flera vårdregister. Även inom en och samma myndighet torde det kunna finnas flera vårdregister, exempelvis då folktandvården har journal- och patientadministrativa system som tekniskt och administrativt är helt åtskilda från system som används på ett sjukhus som ingår i samma myndighet.
Allmänt tolkas vårdregisterlagen på så sätt att den hindrar att flera vårdgivare delar på ett vårdregister (se t.ex. Landstingsförbundets skrift Sekretess och integritetsskydd för samverkande elektroniska patientjournaler – ett diskussionsunderlag till pågående utvecklingsarbete, Stockholm 2001, s. 8 f. eller InfoVU-projektets rapport Rättsfrågor med anknytning till IT i vård och omsorg, Socialstyrelsen november 2005, s. 72 f.). Detta framgår dock inte uttryckligen av lagen eller dess förarbeten.
Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen).
I personuppgiftslagen finns flera bestämmelser av betydelse för hanteringen av elektroniska patientjournaler. En viktig bestämmelse är att det alltid skall finnas en personuppgiftsansvarig, vilken torde vara identisk med vårdgivaren, som bl.a. ansvarar för att personuppgiftsbehandlingen i elektroniska patientjournaler sker lagenligt och att personuppgifterna som finns i ett vårdregister skyddas av lämpliga tekniska och organisatoriska åtgärder.
Enligt personuppgiftslagen kan personuppgiftsansvar mycket väl vara delat mellan flera fysiska eller juridiska personer. Flera kan alltså vara personuppgiftsansvariga för samma personuppgiftsbehandling.
Mot bakgrund av det sagda kan sägas att regleringen av patientjournalföringen i och för sig inte hindrar sammanhållna journaler gemensamma för flera vårdgivare, i vart fall inte uttryckligen. Där-
emot är, som kommer att framgå i det följande, den sekretess som i allmänhet gäller för uppgifter i patientjournaler ett rättsligt hinder i sammanhanget. Bestämmelser om sekretess finns i sekretesslagen och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
9.3.2. Några tidigare utredningar
Frågan om för flera vårdgivare sammanhållna journaler har berörts av ett par tidigare utredningar, som här kort refereras.
Såsom nämnts i utredningens första tilläggsdirektiv har Socialstyrelsen på regeringens uppdrag gjort en översyn av patientjournallagen. Översynen resulterade i en skrivelse till regeringen som publicerades i december 2001, Patientjournallagen – En översyn med förslag till författningsändringar. I skrivelsen har Socialstyrelsen lämnat förslag till ett flertal sakliga ändringar i patientjournallagen av vilka merparten redovisas i avsnitt 10. Ett av förslagen bör emellertid nämnas här, nämligen en helt ny bestämmelse vari anges att dokumentation bör göras i en sammanhållen patientjournal, om inte särskilda skäl talar mot det. Vidare föreslogs en uttrycklig bestämmelse om att uppgifter i ett visst hänseende endast bör förekomma en gång i journalen. Enligt förslaget skall det ankomma på verksamhetschefen att ge riktlinjer som behövs i dessa avseenden. I motiveringen angavs den föreslagna bestämmelsen vara en målparagraf vars främsta syfte är att förhindra onödig dokumentation och dubbelarbete. Med särskilda skäl som talar mot en sammanhållen journal pekades i första hand på integritets- och sekretesskäl. Härvid åsyftades problem som kan finnas när det gäller såväl den inre sekretessen mellan t.ex. olika kliniker inom ett landsting som yttre sekretess (a.a. s. 29 f.).
Socialstyrelsen tog vidare upp frågan om en journal skulle kunna följa patienten genom vårdkedjan alldeles oavsett om denna inbegriper flera vårdgivare eller inte. När det gäller patientjournaler inom den allmänna hälso- och sjukvården fann styrelsen emellertid detta vara omöjligt med tanke på att journalerna utgör allmänna handlingar enligt tryckfrihetsförordningen som myndigheten måste bevara och inte får avhända sig till nästa vårdgivare som kan vara en annan myndighet eller en enskild. Socialstyrelsen pekade också på risken för att uppgifter som behövs vid ett senare vårdtillfälle inte skulle kunna återfinnas. Enligt Socialstyrelsen kan man vid elektronisk journalföring uppnå en journal som följer patienten genom att en kopia av
journalen överlämnas till nästa vårdenhet där den läggs in som en inledning i den nya journalen (a.a. s. 32).
Samverkansutredningen hade i uppdrag att lämna förslag till förbättringar av möjligheterna till samverkan mellan landstingens hälso- och sjukvård och kommunernas vård och omsorg. Deras arbete ledde bl.a. till lagstiftning om gemensamma nämnder inom vård och omsorgsområdet. I sitt betänkande Samverkan – Om gemensamma nämnder på vård- och omsorgsområdet, m.m. redovisade utredningen sina överväganden i sekretessfrågor och dokumentationsfrågor med anknytning till den nämnda samverkan (SOU 2000:114 s. 235 f. och 253 f.). Några författningsförslag lämnades dock inte. Visserligen framkom vissa bekymmer angående tillämpningen av sekretessbestämmelserna i den praktiska hanteringen. Samverkansutredningen hänvisade dock till att frågorna lämpligen borde övervägas av Offentlighets- och sekretesskommittén.
I fråga om dokumentation övervägde Samverkansutredningen om den skulle kunna få ske i en gemensam journal alldeles oavsett vem som svarar för insatsen. Särskilt uppmärksammades frågan om gemensam dokumentation inom vård och omsorg om äldre i särskilda boendeformer och inom hemsjukvården.
Samverkansutredningen bedömde emellertid att en gemensam dokumentation över huvudmannagränser är svår att förena med tryckfrihetsförordningens bestämmelser om allmänna handlingar och att den dessutom skulle strida mot gällande sekretessbestämmelser. När det gäller frågan om tryckfrihetsförordningen anfördes bl.a. som ett problem att frågan om när en handling skall anses allmän utgår från begreppen upprättad och förvarad, när det gäller handlingar som myndigheten själv producerar. Om någon annan upprättat, dvs. producerat handlingen, blir den i stället att anse som inkommen till myndigheten. Enligt utredningen är det tveksamt om det är förenligt med dessa regler att en myndighetsperson från en myndighet i den myndighetens verksamhet upprättar en handling hos en annan myndighet. I vilken myndighets verksamhet är då handlingen upprättad och var skall den anses förvarad? Blir handlingen att anse som upprättad hos den första myndigheten och inkommen till den senare? I så fall måste handlingen också bevaras av den första myndigheten. Samverkansutredningen fann mot bakgrund av det anförda att frågan med dithörande problem låg utanför dess direktiv.
9.4. Våra överväganden
9.4.1. Inledning
Som angetts i avsnitt 9.1 ingår det i uppdraget att analysera förutsättningarna för och nyttan av en för alla vårdgivare sammanhållen patientjournal för varje patient. I detta avsnitt redovisar vi våra bedömningar i dessa hänseenden.
När vi i det följande talar om en sammanhållen patientjournal bör man hålla i åtanke att begreppet patientjournal på en gång är både ett klart avgränsat och ett diffust begrepp. Enligt 2 § patientjournallagen avses i lagen med begreppet patientjournal; ”…de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder (journalhandlingar).”
Begreppet är klart avgränsat i den mening att det avser en viss form av vårddokumentation som utförs till följd av en rättslig förpliktelse att dokumentera informationen. I den bemärkelsen har begreppet juridisk relevans. Det är också klart avgränsat såtillvida att en journal endast kan avse en viss patient.
Mer diffust blir det när man skall ange var en journal börjar och slutar och vad som är en eller flera fristående journaler beträffande en patient. Inte minst gäller det vid elektronisk patientjournalföring i ett informationssystem som är gemensamt för alla vårdenheter och alla journalföringspliktiga yrkeskategorier inom en vårdgivares verksamhet. Så är t.ex. fallet i Norrbottens läns landsting där även folktandvården sedan en tid är ansluten till det gemensamma journal- och vårdadministrativa systemet. Begreppet patientjournal blir som vi ser det i denna bemärkelse snarast en bekväm samlingsbeteckning för alla de olika slags journalhandlingar som, helt och hållet beroende på hur journalföringen är organiserad, med tiden samlas kring en patient.
9.4.2. En journal knuten till patienten
Vår bedömning: Vi avvisar en nyordning som skulle innebära att patienten äger sin journal eller att den inte längre skall vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.
Vi har till en början tagit ställning till de tankar som i dag framförs från flera håll om dels att patienten skall äga eller ha förfoganderätten över sin journal, dels att patientjournalen skall vara knuten till patienten och inte till vårdinrättningen eller vårdgivaren.
En diskussion om äganderätten till journaler och till vem den är knuten ger upphov till en rad frågeställningar av juridiskt komplicerad natur. Exempelvis är begreppet äganderätt i sig tämligen diffust och beskrivs i allmänhet genom en uppräkning av de olika slags rättigheter och inte sällan även skyldigheter som är förenade med just en ifrågavarande äganderätt. För att ta något exempel kan en privatpraktiserande tandläkare med mottagning i egen regi anses i viss utsträckning ha en äganderätt till de patientjournaler som upprättats i mottagningens verksamhet. Tandläkaren kan, t.ex. i samband med att en vårdgivarverksamhet överlåts till annan och med patienternas samtycke överlämna journalerna till en ny vårdgivare, dvs. en ny ägare av mottagningen. I någon mån kan journaler således i vissa fall sägas ha ett förmögenhetsvärde och vara en del i rent affärsmässiga överlåtelsekontrakt.
Handhavandet av journalerna är emellertid kringgärdat av en mängd författningsregler som inkräktar på äganderätten. Exempelvis får läkaren inte förstöra eller förfoga över journalerna på ett sätt som strider mot patientjournallagen eller mot tystnadsplikten enligt lagen om yrkesverksamhet på hälso- och sjukvårdens område. Vi anser det emellertid inte meningsfullt att närmare gå in på de frågor som gäller huruvida man över huvud taget kan tala om äganderätt när det gäller patientjournaler ens i enskild verksamhet. I det följande anges dock några principiella ståndpunkter som vi menar gör det olämpligt att införa en lagstiftning som ger patienterna ett slags äganderätt till journalen eller som innebär att journalen inte längre skall vara knuten till vårdgivaren.
Vår uppfattning är att patientjournaler även fortsättningsvis i första hand skall vara ett arbetsinstrument för hälso- och sjukvårdspersonalen med en god och säker vård som främsta ändamål. Patientsäkerhetsskäl talar också för att de nuvarande grundläggande regler-
na om bl.a. en skyldighet att föra journal som en del av hälso- och sjukvårdspersonalens medicinska yrkesansvar behålls. Vi finner det uteslutet med en s.k. äganderätt för patienterna som skulle innefatta bestämmanderätt över huruvida journal skall föras eller inte och vad den skall innehålla, främst eftersom det skulle innebära oacceptabla risker för patientsäkerheten och försvåra för hälso- och sjukvårdspersonalen att utföra sitt arbete på ett professionellt och ansvarsfullt sätt. Även i fortsättningen bör det i vårdgivarnas och verksamhetschefernas övergripande ansvar för patientsäkerheten i verksamheten ingå ett ansvar för att journalföring kan ske på ett lagenligt sätt och att journalerna hanteras och bevaras under betryggande former. En ordning som innebär att patienten själv förvarar och administrerar sin journal eller sina journaler i dess originalform (på elektroniskt medium eller på papper) går knappast att förena med vårdgivarnas ansvar i detta avseende.
Till detta kommer att journalen även fortsatt kommer att ha betydelse inte bara för patienten själv utan även som underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring för att ta några viktiga exempel på det allmännas intresse av patientjournalerna. I dessa avseenden menar vi att det nu inte finns och inte heller bör finnas någon skillnad mellan allmän och enskild hälso- och sjukvård. Det saknar därför relevans att diskutera en ändring av tryckfrihetsförordningen för att tillförsäkra patienten en äganderätt till sin journal i de bemärkelser som här berörts.
Ett annat sätt att frikoppla journalen från vårdgivaren och i stället låta den följa patienten genom vårdapparaten skulle vara att patientens alla tidigare vårdgivare kan eller måste avhända sig sina journaluppgifter och överlämna dem direkt till nästa vårdgivare som i sin tur förvaltar journalen och fyller på den med nya uppgifter.
Vi menar dock att det inte är lämpligt med en ordning som innebär att vårdgivare endast förvaltar patientjournaler under begränsade perioder. Bl.a. skulle det försvåra olika slags uppföljning av vård. Vidare kan olika slags problem uppstå då patienten har flera samtidigt pågående vårdkontakter med olika vårdgivare, t.ex. en privattandläkare och diabeteskliniken på ett landstingssjukhus. Vi avvisar därför en journalföring enligt den skissade ordningen.
Det kan emellertid påpekas att den beskrivna ordningen skulle i fråga om patientjournaler hos offentliga vårdgivare kräva vissa författningsändringar och undantag från de generella bestämmelserna om allmänna handlingar i t.ex. arkivlagen (1990:782). Det skulle även
kräva författningsändringar för de privata vårdgivarnas verksamhet, eftersom gällande rätt inte heller tillåter dem att avhända sig patientjournaler på det skisserade sättet. Liksom i fråga om äganderätten till journalen är det inte någon avgörande skillnad mellan den allmänna eller enskilda hälso- och sjukvården när det gäller till vem journalen är knuten. Att undanta patientjournaler från tryckfrihetsförordningens tillämpningsområde skulle alltså inte heller i detta avseende skapa en större likhet med den enskilda hälso- och sjukvården.
Däremot syftar våra förslag i det följande till att öppna möjligheterna till att i praktiken få den ordning som motsvarar det som vi tror att man i huvudsak eftersträvar när man talar om att journalen skall följa patienten genom vårdapparaten. Hur detta närmare skall utformas och hur våra förslag närmare förhåller sig till tryckfrihetsförordningen m.fl. författningar utvecklas i avsnitt 9.4.4 och avsnitt 11.
Avslutningsvis kan påpekas att ett alternativ är att de patienter som så vill utrustas med elektroniska journalkopior, i de delar som inte är hemliga i förhållande till patienten själv, exempelvis på ett s.k. smart kort eller minneskort eller annat medium som efter hand kan fyllas på med ny information av nya vårdgivare. I praktiken, men inte i formell mening, uppnår man härigenom en journal som kan följa patienten. Enligt vår uppfattning hindrar dagens reglering – exempelvis vårdregisterlagens reglering om när personuppgifter i ett vårdregister får lämnas ut elektroniskt – inte en sådan ordning, särskilt inte när syftet med den elektroniska kopian är att utgöra ett vårdrelaterat komplement till patientjournalen. Att så inte skett i någon större utsträckning synes bero på andra faktorer, t.ex. tekniska eller administrativa problem, än rent juridiska hinder. I avsnitt 13 kommer vi närmare att behandla frågor om möjligheterna att elektroniskt lämna ut journaluppgifter till patienten själv.
Utredningen om uppföljning inom läkemedelsområdet övervägde om individuella minneskort (smarta kort eller smartcards) skulle kunna fylla funktionen att samla information om patientens läkemedelsförskrivning vid sidan av patientjournalen. Utredningen bedömde emellertid att en skyldighet för förskrivare att påföra kortet uppgifter skulle medföra dubbelarbete för en redan belastad och ofta tidspressad förskrivarkår. Inte heller finns det några garantier för att patienter alltid skulle förete sitt kort vid förskrivning alternativt då läkemedel hämtas ut på apotek, vilket i sig minskar tillförlitligheten till ett i och för sig företett minneskort (SOU 2003:52 s. 89 f.).
Vi instämmer i den nyss nämnda utredningens bedömning i fråga om brister med minneskort eller liknande elektroniska kopior av journalanteckningar som patienten själv handhar. Modellen är alltså inte någon lämplig generell lösning för att åstadkomma högre patientsäkerhet genom bättre informationsförsörjning för vårdgivare som involveras i vården av en enskild patient. Däremot menar vi att modellen med elektroniska kopior kan vara praktisk och till nytta för patientsäkerheten i några sammanhang, exempelvis för personer som reser mycket i sitt arbete eller för kroniker som vill på ett smidigt sätt medta viss medicinsk basinformation vid en utlandsresa. Såsom nyss sagts återkommer vi till frågor om elektroniskt utlämnande till patienter i avsnitt 13. Här kan emellertid erinras om vårt förslag i avsnitt 8.7 om att patientdatalagen skall vara tydligt tillåtande i fråga om utlämnande på medium för automatiserad behandling.
9.4.3. En obligatorisk sammanhållen helhetsjournal
Vår bedömning: I dag saknas grundläggande förutsättningar att inom överskådlig tid införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Vi bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem.
Nyttan
En utgångspunkt i våra överväganden är att det i första hand är förbättrad patientsäkerhet som bör motivera omfattande ändringar i den nuvarande rättsliga regleringen av patientjournalföringen. Ett problem när det gäller att värdera nyttan för patientsäkerheten med en sammanhållen patientjournal är att det saknas breda studier som – avseende den svenska hälso- och sjukvården i stort – storleksmässigt uppskattat vilken inverkan på patientsäkerheten som följer av den nuvarande avsaknaden av sammanhållen, för flera vårdgivare gemensam journalföring eller bristande tillgång på andra vårdgivares tidigare eller samtida vårddokumentation. I debatten om IT i vården påstås ibland att tusentals patienter dör varje år till följd av bristerna i informationsöverföringen. Något underlag för att ta ställning till
sådana påståenden och till i vad mån dödsfallen orsakas av det nuvarande systemet för patientjournalföring har vi inte haft tillgång till. På vissa områden, t.ex. i fråga läkemedelsförskrivningen till äldre, finns emellertid studier som indikerar att förbättrad informationstillgång kan ge en väsentligen bättre vård för den enskilde (se t.ex. Socialstyrelsens publikation Uppföljning av äldres läkemedelsanvändning, 2004-103-19 s. 10). För hälso- och sjukvården totalt sett saknas emellertid riktvärden. De projekt som för närvarande pågår med att knyta samman journalföringen inom ett landstings verksamhet är i huvudsak ännu under utveckling och några närmare utvärderingar i fråga om konkreta effekter på patientsäkerheten saknas än så länge. Någon analys av hur mycket patientsäkerheten kan antas öka med en för alla vårdgivare sammanhållen journal för varje patient är mot denna bakgrund inte möjlig att göra.
Vi menar emellertid att man kan göra vissa antaganden i fråga om nyttan för bl.a. patientsäkerheten med en sammanhållen journal.
Enligt vår uppfattning kan man utgå från att ett väl fungerande informationssystem vari alla journalanteckningar om en patient samlas i strukturerad form har en stor nyttopotential. Nytta kan antas uppstå både på det individuella planet i bemärkelsen nytta för patienten och på ett mer allmänt plan i bemärkelsen nytta för verksamheten som sådan och därmed nytta för samhället i stort. Med en journal som läggs upp för en individ i samband med hans eller hennes födelse, alternativt vid annan första kontakt med svensk sjukvård, och sedan fylls på fram till dess patienten avlider, blir den potentiella tillgången till journalinformation optimal.
Förutsatt att uppgifterna är korrekta och lätt åtkomliga torde patientsäkerheten generellt sett öka vid alla kommande vårdtillfällen. Exempelvis skulle felbehandlingar som har sitt upphov i bristande tillgång till information, t.ex. om svåra allergier eller kroniska sjukdomar, som faktiskt finns dokumenterad hos en annan vårdgivare i princip inte behöva förekomma. Samtidigt måste understrykas att det sagda verkligen kräver ett exakt och gemensamt journalspråk samt gemensamma rutiner och strukturer som alla håller sig till. Som kommer att beröras nedan kan annars befaras att nya risker för patientsäkerheten uppstår.
Olika vårdgivares eller vårdenheters samarbete kring vården av en patient skulle kunna underlättas och effektiviseras betydligt med en gemensam journal. Många patienter skulle kunna slippa onödiga undersökningar, medicineringar och omtagningar av prover för att ta några exempel. Samma sjukdomshistorik skulle inte behöva upp-
repas igen och igen på varje ny vårdenhet, något som det i dag ofta framförs klagomål på från patienter eller deras anhöriga. Vi vill här dock erinra om att dessa upprepade frågor, som av lekmannen kan uppfattas som onödiga, är en viktig metod för läkare att under sitt medicinska yrkesansvar själv bilda sig en uppfattning och få olika antaganden bekräftade. Att helt förlita sig på dokumenterade uppgifter är inte förenligt med de krav som ställs på de legitimerade yrkesutövarna.
En gemensam journal ger vidare ett mångt bättre verktyg att följa upp och analysera de samlade vårdinsatserna för patienten än en patientjournal som är begränsad till den egna vårdenhetens insatser.
En sammanhållen journal torde vidare – om den administreras och organiseras väl – avlasta hälso- och sjukvårdspersonalen från mycket onödigt administrativt arbete. Exempelvis läggs i dag mycket tid och resurser på ”dubbeldokumentation” och omständligt informationsutbyte med personal hos andra vårdgivare, resurser som man skulle kunna spara in på. Hälso- och sjukvården skulle därmed kunna möta de krav på effektivisering av verksamheten som redan ställs och som av allt att döma kommer att accentueras i framtiden. Nyttan för samhället och i förlängningen för kvaliteten i vården torde således kunna bli stor.
En nationell, eller en regional, livslång patientjournal i ett sammanhållet informationssystem med strukturerade journalanteckningar enligt en enhetlig begrepps- och terminologiapparat skulle därutöver vara mycket värdefull som basmaterial för all slags forskning, kvalitetssäkring av hälso- och sjukvården, ekonomisk uppföljning och liknande sekundära ändamål, dvs. ändamål som inte direkt syftar till vård av den enskilda patienten. Informationssystemet skulle ju omfatta uppgifter om praktiskt taget hela befolkningen. Det är inte en orimlig tanke att de nuvarande hälsodataregistren hos Socialstyrelsen och Läkemedelsverket samt de nationella kvalitetsregistren skulle tappa något i betydelse, eftersom så mycket information redan skulle finns samlad i ett heltäckande journalsystem där den är potentiellt tillgänglig för olika slags sammanställningar som behövs för analyser m.m. Det sagda gäller oberoende av huruvida informationssystemet tekniskt sett upprättas som en gemensam databas eller som decentraliserat, hos varje vårdgivare lagrade journalanteckningar så länge som uppgifterna totalt sett är kompatibla och sammanställningsbara. Ökade möjligheter till sekundär användning av journaluppgifterna torde i förlängningen kunna bidra till en ökad kvalitet
och effektivitet i hälso- och sjukvården som i sig ökar patientsäkerheten vid det enskilda vårdtillfället.
Förutsättningar
Även om antagandena ovan om nyttan med en för samtliga vårdgivare sammanhållen journal för varje patient skulle vara korrekta, krävs enligt vår mening att en rad förutsättningar är uppfyllda för att det skall vara lämpligt och rimligt med en författningsreglering som föreskriver en sådan sammanhållen journalföring som en obligatorisk ordning eller som huvudregel.
Man måste i sammanhanget betänka att hälso- och sjukvården har en organisatoriskt komplicerad och splittrad struktur. Huvudmannaskapet delas mellan landsting och kommuner som var och en är en självständig vårdgivare. Därutöver finns privata vårdgivare med i sin tur mer eller mindre komplexa strukturer. Vissa privata vårdgivare är relativt stora organisationer. Ett exempel är Praktikertjänst AB som i formell mening är en vårdgivare vari ingår drygt 2 000 separata mottagningar/vårdenheter spridda över landet. Andra privata vårdgivare är mycket små, t.ex. en deltidsarbetande psykoterapeut som i enskild firma bedriver hälso- och sjukvård endast med en handfull patienter. När man talar om en för alla vårdgivare gemensam journal, är det alltså fråga om väldigt många vårdgivare med sinsemellan vitt skilda omfattning och verksamhetsinriktning; från Stockholms läns landsting med omkring 40 000 anställda inom hälso- och sjukvården, inklusive tandvården, till en privatpraktiserande specialistläkare eller kiropraktor i mindre skala utan någon anställd personal.
Hur stort antal vårdgivare inom vars verksamhet patientjournaler måste föras har visat sig vara en omöjlig uppgift att ta fram. Socialstyrelsen för visserligen enligt 6 kap. 20 § lagen om yrkesverksamhet på hälso- och sjukvårdens område ett automatiserat register över hälso- och sjukvårdsverksamheter som står under Socialstyrelsens tillsyn och som anmälts enligt bestämmelserna i 6 kap. 6–8 §§ samma lag. Kvaliteten i registret är emellertid enligt uppgift från Socialstyrelsen mycket bristfällig. Den dåliga kvaliteten beror på att många vårdgivare brister såväl i att göra anmälningar som i att avanmäla upphörda verksamheter. För närvarande innehåller registret drygt 9 200 vårdgivare med unika organisationsnummer eller personnummer. Som framgår av det nyss sagda finns det dock ett okänt antal vårdgivare som inte har anmält sin verksamhet. Likaså torde ett okänt
antal av de anmälda firmorna inte längre bedriva någon verksamhet, exempelvis på grund av pensionering eller fusion med annan juridisk person. Men även om det inte går att närmare precisera hur många vårdgivare i vars verksamhet yrkesutövare för patientjournal, kan man dra slutsatsen att det är ett mycket stort antal privata vårdgivare som måste knytas samman i ett med landstingen och kommunerna gemensamt journalföringssystem för att man skall kunna tala om en för samtliga vårdgivare gemensam journal.
En grundläggande förutsättning för ett gemensamt system är att all journalföring sker elektroniskt. I dag är datoriseringen av hälso- och sjukvården långt ifrån heltäckande. Inom såväl allmän som enskild hälso- och sjukvård är det primärvården som kommit längst i fråga om elektronisk journalföring. Den är i princip fullständigt genomförd. I övrigt skiftar datoriseringsgraden mellan olika slags verksamheter och dokumentationsslag. En jämförelse mellan landstingen visar även på regionala skillnader i hur långt framme man är när det gäller IT-stöd i verksamheten. Utvecklingen går emellertid mycket snabbt och man bör kunna förutsätta att i huvudsak all journalföring kommer att ske elektroniskt inom en snar framtid.
Det sagda innebär dock inte att vi anser att tiden är mogen för att nu lagstiftningsvägen tvinga vårdgivarna till en gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Skälen härför är flera.
Ett tungt vägande skäl är att det för närvarande saknas tekniska förutsättningar för att knyta samman vårdgivarnas befintliga journalföringssystem i ett informationssystem eller att ersätta dem med ett helt nytt gemensamt elektroniskt system. Bara inom landstingen sägs det finnas över 300 olika datoriserade journalsystem som inte är kompatibla med varandra. Visserligen pågår på sina håll, t.ex. i Stockholms läns landsting och i Landstinget i Uppsala län, ett intensivt arbete med att knyta samman olika journalsystem i ett landstingsgemensamt journalföringssystem med en enhetlig informationsstruktur. Det skall också nämnas att i Norrbottens läns landsting har man praktiskt taget redan genomfört en enhetlig och sammanhållen elektronisk journalföring i hela landstinget. Troligen skulle man lagstiftningsvägen i viss utsträckning kunna påskynda utvecklingen, men det är ändå högst osäkert när det tekniskt blir möjligt att, med rimliga ekonomiska investeringar, på bred front samla ens landstingens totala journalföring i ett system för sammanhållna journaler som uppfyller de säkerhetskrav m.m. som måste ställas på hante-
ringen. Än längre tid kommer det att ta innan det blir möjligt att också infoga kommunerna och alla tusentals privata vårdgivare häri.
Bristen på enhetlighet i informationsstrukturen är ett annat problem i sammanhanget. Även här bedrivs ett arbete, sedan en tid på nationell nivå, med att ta fram en enhetlig informationsstruktur för hälso- och sjukvården med bl.a. gemensamma standarder. Sådana gemensamma standarder kan t.ex. röra till synes enkla saker som hur man skriver ett datum på ett enhetligt sätt. Även om detta arbete intensifierats och konsoliderats parallellt med vårt arbete, se avsnitt 3.4.2, är det vår bedömning att det arbetet inte inom de närmaste åren kan ge resultat som är heltäckande för all journalföring inom hälso- och sjukvården.
Ett annat tungt vägande skäl mot en tvångslagstiftning i dag är att det ännu saknas ett för hälso- och sjukvården enhetligt journalspråk. En unison begrepps- och terminologiapparat finns inte. Vidare saknas en gemensam metod för hur uppgifterna skall dokumenteras i en journal på ett strukturerat och konsekvent sätt. Utan enhetlighet i dessa avseenden är det i hög grad tveksamt om en sammanhållen journal ger någon nämnvärd nytta. Tvärtom kan bristande enhetlighet befaras medföra nya risker för patientsäkerheten genom att tidigare dokumentation missförstås vid en senare vårdkontakt i den mån personalen vid det senare tillfället alls vågar lägga tidigare uppgifter till grund för egna bedömningar och beslut. Liksom i fråga om informationsstruktur pågår visserligen arbete inom Socialstyrelsen med att normera begrepp och termer. Men även detta arbete kommer att ta tid. Det går inte nu att bedöma när detta arbete blir heltäckande så att det omfattar all slags information som journalförs inom landet.
Effektivitetsvinsterna av en sammanhållen journal är vidare beroende av att det finns sofistikerade sök- och sammanställningsmöjligheter som vid varje specifikt vårdtillfälle automatiskt skiljer ut vad som är relevant information i det givna ögonblicket. I annat fall är risken stor för att vårdpersonalen drunknar i en oöverblickbar informationsmängd avseende en enda patients samtliga vårdtillfällen som tar sin början i dokumentationen från förlossnings- och barnavården. Det i sin tur kan leda till nya problem med onödigt administrativt arbete bl.a. på grund av att det kan uppstå osäkerhet kring hur mycket arbete man måste lägga ner på att gå igenom tidigare dokumentation för att inte anses brista i sitt medicinska yrkesansvar. Om man inte snabbt hittar den information man letar efter, finns det också risk för dubbeldokumentation.
Någon lösning på de problem som här påtalats finns inte framtagen ännu. Utan en sådan lösning menar vi att behovet av en för alla vårdgivare gemensam journal inte överväger de nackdelar som de nämnda bristerna genererar.
Med tanke på alla de olösta problemen som berörts i det föregående ter det sig som en omöjlig uppgift att närmare beräkna vilka ekonomiska resurser som krävs för att man skall kunna införa för samtliga vårdgivare sammanhållna journaler. Vi avstår därför från att framföra tankar om storleken på nödvändiga investeringar och om hur en finansiering skulle kunna ske eller vilka ekonomiska konsekvenser som kan uppstå för små och stora vårdgivare.
Slutsatser
Såsom framgår av det föregående saknas i dag de grundläggande förutsättningarna för att inom överskådlig tid införa en för samtliga vårdgivare sammanhållen journal. Redan mot den bakgrunden finner vi det omöjligt att genom lagstiftning ställa krav på att patientjournaler generellt sett skall föras sammanhållet för varje patient. Vårt förslag är således att det inte införs någon författningsreglering som utgår från en för alla vårdgivare sammanhållen journal, vare sig som obligatorium eller som huvudregel. Det sagda gäller såväl sammanhållen journal på nationell nivå som på landstingsnivå.
Vi menar därutöver att det alldeles bortsett från de bristfälliga förutsättningarna inte heller framstår som klart ändamålsenligt att nu skapa en för alla vårdgivare sammanhållen journal, i vart fall inte för ändamålet vård av patienter. En omständighet som vi därvid beaktat är att man vid våra kontakter med företrädare för hälso- och sjukvårdens journalförare många gånger framhållit att det i första hand inte är gemensam journalföring i sig som efterfrågas utan snarare en möjlighet att vid behov kunna elektroniskt få tillgång till (och eventuellt på ett smidigt sätt får kopior av) andra vårdgivares information som man bedömer kunna vara till nytta i det egna arbetet. Förutom vissa medicinska basfakta såsom uppgifter om allvarliga allergier, kroniska sjukdomar, pågående behandlingar, aktuella provtagningar m.m. synes behovet i vardagssjukvården i allmänhet klinga av ju äldre informationen blir. Givetvis förekommer det att även gamla eller till synes perifera journalanteckningar har betydelse vid ett senare vårdtillfälle, men antalet fall torde volymmässigt vara i sammanhanget litet.
Den breda enkätundersökning bland allmänheten som vi låtit Statistiska Centralbyrån utföra under år 2005, ger visserligen vid handen att det hos allmänheten finns en i huvudsak positiv attityd till införandet av en enda sammanhållen patientjournal. Vi menar dock att det finns betydande risker med att i ett slag införa ett omvälvande systemskifte och en lagstiftning som innebär att all hälso- och sjukvårdsinformation om i princip hela befolkningen samlas i en enda livstidsjournal för varje enskild individ; en journal som i princip och tekniskt sett är sök- och sammanställningsbar och till vilken alla vårdgivare är, i vart fall potentiellt sett, anslutna. Även om informationen kringgärdas av säkerhetssystem och tillförlitliga behörighetssystem, kan man inte utesluta att förtroendet för hälso- och sjukvården naggas i kanten, i vart fall hos vissa patientkategorier. I dag finns det patienter som vid vissa särskilda tillfällen väljer en privat vårdgivare just av den anledningen att man ställer krav på i det närmaste total diskretion och därför inte vill förekomma i de stora vårdgivarnas informationssystem. Den möjligheten skulle försvinna med en för alla vårdgivare sammanhållen journal. Det kan här nämnas att vår enkätundersökning visar att omkring 50 procent känner viss oro och att omkring 18 procent anser att integritetsriskerna överväger och är därför negativa till en enda journal.
Man kan också förvänta sig att de heltäckande livstidsjournalerna genererar en radikalt ökad efterfrågan på journaluppgifter från externa intressenter såsom försäkringsbolag, presumtiva arbetsgivare m.fl., vilket i sig kan skapa oro hos enskilda. I värsta fall kan ett försämrat förtroende hos allmänheten få allvarliga följder för patientsäkerheten, nämligen om patienter undanhåller integritetskänsliga men viktiga uppgifter vid kontakter med hälso- och sjukvården eller t.o.m. avstår från vård. Det finns även en risk för att enskilda yrkesutövare av hänsyn till patienter blir alltför återhållsamma i sin journalföring, vilket även det kan få negativ återverkan på patientsäkerheten.
Vi tror att allmänhetens förtroende för hälso- och sjukvården bevaras och kanske till och med ökar med en mer successiv utveckling där lagstiftningsreformer om obligatorisk sammanhållen journalföring kan föregås av noggranna utvärderingar – bl.a. utifrån integritets-, effektivitets- och patientsäkerhetsaspekter – av t.ex. sådana stora landstingsgemensamma journalsystem som nu planeras eller enbart har varit i drift under kortare tid. Redan nu finns det erfarenheter att ta till vara från sådana arbeten. Dessa erfarenheter visar att det handlar om ett mycket komplext arbete som inte alltid är problemfritt. Införandet har t.ex. ibland medfört nya slags risker för patient-
säkerheten och har ibland också varit förenat med mycket administrativt merarbete för personalen. Som framgår av följande avsnitt, ingår i våra förslag en öppnad möjlighet för flera vårdgivare att skapa elektroniska system för sammanhållen journalföring som innebär åtkomlighet till information över administrativa och formella gränser. Den möjligheten kommer troligen att medföra att vårdgivare inom en ganska snar framtid kan bygga upp gemensamma journalföringssystem. Det är vår bedömning att så kommer att ske stegvis inom vissa områden, geografiskt eller verksamhetsmässigt. Även dessa gemensamma journalföringssystem får givetvis följas upp och utvärderas utifrån olika aspekter innan det bör bli aktuellt att överväga en lagstiftning om en enda patientjournal per individ men gemensam för alla vårdgivare.
9.4.4. En obligatorisk sammanhållen journal av mer begränsat slag
Vår bedömning: Det är osäkert om och i så fall när en sammanhållen patientjournal av mera begränsat slag skulle kunna genomföras. Vi föreslår därför ingen skyldighet att på något område föra journal över vårdgivargränser.
Vi har övervägt om det finns anledning att föreslå en mer begränsad obligatorisk patientjournal baserad på något befintligt projekt eller register, t.ex. Carelinks Nationella Patientöversikt eller den databas för elektronisk vaccinationsjournalföring och patientadministration som bedrivs i projektet SVEVAC, lett av Smittskyddsinstitutet. Ett ytterligare alternativ som diskuterats är en obligatorisk och heltäckande läkemedelsjournal för både förskrivningar och ordinationer. Även dessa alternativ kräver vissa tekniska, organisatoriska och andra förutsättningar som gör dem svåra att införa som en obligatorisk ordning inom överskådlig tid. Som anfördes i förra avsnittet bör, menar vi, också de projekt som nu pågår och även resultaten av den nya läkemedelsförteckning som Apoteket AB för enligt lagen om läkemedelsförteckning följas upp och utvärderas, innan en obligatorisk och sammanhållen patientjournal av mer begränsat slag bör införas. Vi lämnar alltså inget förslag om en sådan.
9.4.5. Öppnade möjligheter till sammanhållen journalföring över vårdgivargränser
Vårt förslag: Vi öppnar en möjlighet för vårdgivare att på frivillig basis föra journal i en gemensam databas eller i annat gränsöverskridande elektroniskt system, som gör det möjligt för hälso- och sjukvården att ge och få direktåtkomst till patientuppgifter som journalförts hos annan vårdgivare.
Avvisandet i det föregående av en författningsreglering som föreskriver att bara en sammanhållen journal per patient skall föras, innebär inte att vi kastar ut barnet med badvattnet. Tvärt om ställer vi oss i huvudsak positiva till mycket av det utvecklingsarbete som nu pågår med att skapa förutsättningar för bredare journalsystem och effektivare informationsutbyte inom hälso- och sjukvården. Vi bedömer emellertid att utvecklingen gagnas av att detta arbete sker utan statlig styrning i form av tvingande lagstiftning om att bara en enda journal skall föras inom hela eller delar av hälso- och sjukvården. Att genom lagstiftning initiera en sammanhållen journalföring med olika slags rättsliga krav, riskerar att låsa fast utvecklingen vid lösningar för en sammanhållen journalföring som inte är hållbara på sikt eller som inte smidigt kan anpassas till skilda slag av verksamheter eller till förändringar i dessa.
En bättre väg att gå är, enligt vår mening, att lagstiftaren öppnar möjligheter till sammanhållen journalföring baserad på frivillig samverkan mellan sjukvårdshuvudmännen och övriga vårdgivare. I vart fall menar vi, som framgått redan i det förra avsnittet, att den vägen framstår som det enda på kortare sikt realistiskt möjliga och lämpliga alternativet. Med sammanhållen journalföring menar vi system som möjliggör att vårdgivare kan ge och få direktåkomst till varandras journaluppgifter och till andra patientuppgifter som behandlas för ändamålet vårddokumentation. Vad direktåkomst innebär har berörts i avsnitt 8.7.
Vi föreslår således en författningsreglering som uttryckligen tillåter att journalföring sker sammanhållet även över vårdgivargränser. Vårt förslag innebär vidare att regleringen ger ett tydligt stöd för fortsatt uppbyggnad av informationssystem varigenom smidigt elektroniskt informationsutbyte mellan vårdgivare kan äga rum. Samtidigt är det vår uppfattning att regleringen inte skall styra över vilka slags tekniska lösningar eller organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Vår utgångspunkt för regleringen i dessa
avseenden är i stället att skapa rättsliga garantier för att informationshanteringen vid sammanhållen journalföring inte inkräktar på de berättigade krav på hög patientsäkerhet och ett tillfredsställande skydd för personlig integritet som enskilda och samhället ställer. Vidare är det vår utgångspunkt att regleringen utformas så att inget nytt administrativt merarbete uppstår som helt förtar den nytta man i övrigt får av förbättrade möjligheter till IT-användning vid kommunikation mellan hälso- och sjukvårdens olika aktörer.
En annan viktig del i våra förslag är att en sammanhållen journalföring inte behöver avse all journalföring utan kan alternativt avse delar av det som skall dokumenteras i en patientjournal. En sådan partiell sammanhållen patientjournalföring torde i många fall vara i hög grad ändamålsenlig. I de kontakter som utredningen haft med företrädare för hälso- och sjukvården har bl.a. framkommit att det framförallt är viss information som man återkommande har behov av att få kännedom om, såsom aktuella läkemedelsordinationer, provsvar m.m. Våra förslag syftar till att ge vårdgivarna möjlighet att bygga upp system i vilket kanske bara medicinska basfakta är gemensamt tillgängliga, t.ex. i en för ett landstingsområde eller en sjukvårdsregion sammanhållen läkemedelslista eller portal. Ett annat exempel är det nationella informationssystemet för patientjournalföring m.m. av vaccinationer som för närvarande utvecklas i Smittskyddsinstitutets projekt SVEVAC. Även sådana gränsöverskridande patientöversikter som innehåller både journalinformation och mer administrativa personuppgifter kommer att kunna byggas upp med stöd av patientdatalagens bestämmelser om sammanhållen journalföring.
Mot bakgrund av det sagda framgår således att det med en för flera vårdgivare sammanhållen journalföring kan avses väldigt många skilda slags konstruktioner av olika omfattning och innehåll. I vilken omfattning vårdgivarna med en öppnare lagstiftning kommer att bygga upp system för sammanhållen journalföring liksom, i förekommande fall, hur dessa tekniskt och organisatoriskt kommer att byggas upp återstår att se. Man kan givetvis tänka sig många olika varianter. I det följande laborerar vi med några typvarianter av för ett antal offentliga (landsting och kommuner) och privata vårdgivare sammanhållen journalföring, nämligen följande.
1) Journaler förs och lagras i sammanhållen form i en gemensam
och centralt administrerad databas till vilken alla vårdgivare är anslutna och så att säga inrapporterar till och hämtar information från.
2) Journaler förs separat hos respektive vårdgivare, men i ett för
vårdgivarna gemensamt informationssystem för journalföring, gemensamt i den bemärkelsen att systemet innebär att åtkomst till varandras journaluppgifter ges eller kan ges på automatiserad väg.
Dessa typvarianter kan naturligtvis i sig administreras och tekniskt organiseras på en rad olika sätt, vilket bl.a. kan få betydelse för vilka rättsliga slutsatser som i ett enskilt fall kan dras i frågor såsom exempelvis när och på vilket sätt en journalhandling blir allmän handling hos en ansluten myndighet. Det kan även få betydelse för hur arkivansvaret och personuppgiftsansvaret bör organiseras vid sammanhållen journalföring. Till dessa frågor återkommer vi i avsnitt 11. Gemensamt för varianterna är att de bygger på att direktåtkomst till varandras journalhandlingar och annan vårddokumentation kan ges och fås.
Samtidigt bör regleringen av journalföringen tillåta också mer traditionell journalföring, som begränsar sig till en vårdenhets eller en vårdgivares verksamhet. Vi kan nämligen inte utesluta att sådan journalföring även i framtiden kommer att vara ändamålsenlig på en del områden. Av samma skäl anser vi inte heller att manuell journalföring, dvs. journalföring på papper, skall förbjudas. I avsnitt 11 redogör vi översiktligt för våra förslag i fråga om öppnade möjligheter till sammanhållen journalföring. För den närmare regleringen av patientjournalföringen hänvisas till avsnitt 10. Se även författningskommentaren i avsnitt 21.
10. En ny reglering av patientjournalföringen
10.1. Vårt uppdrag
I vårt uppdrag ingår att särskilt se över bestämmelserna i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) samt lämna förslag till ändringar i dessa eller, om vi finner det mer lämpligt, till en ny författningsreglering.
Uppdraget innefattar uttryckligen följande frågeställningar. Vi skall analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal för varje patient, på nationell nivå eller på landstingsnivå. I det fall en sammanhållen journal inte föreslås, skall vi granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom enskild och allmän hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna används eller bör få användas. Dessa frågor behandlar vi i avsnitt 9, 11 och 14.
Vi skall vidare se över möjligheterna för patienten att via Internet få ta del av uppgifter om sig själv. Denna fråga behandlar vi i avsnitt 13. I samband härmed behandlar vi patientjournallagens bestämmelser om patientens rätt att ta del av sin journal.
Slutligen skall vi utreda om bestämmelserna om språk vid journalföring tillgodoser patienternas rätt att kunna ta del av sin journal och i förekommande fall lämna förslag till lämplig reglering.
Enligt direktiven skall vi ha som utgångspunkt att all journalföring i framtiden i huvudsak skall vara elektronisk.
Vi har uppfattat direktiven så att det i vårt uppdrag inte ingår att närmare pröva de materiella bestämmelserna i patientjournallagen annat än i de delar som är kopplade till ovan angivna frågor eller som påverkas av att journalföringen är elektronisk. Vi har således inte gjort någon närmare översyn av bestämmelserna om t.ex. journalföringsplikten.
Vi återkommer i avsnitt 11 till hur bestämmelserna om patientjournalföring förhåller sig till våra förslag om sammanhållen journalföring.
Beträffande patientjournallagens bestämmelse om inre sekretess hänvisas till avsnitt 12.
10.2. Nuvarande patientjournallag och vårdregisterlag
10.2.1. Patientjournallagen
Före patientjournallagens införande den 1 januari 1986 fanns ingen generell författningsreglering av patientjournalföringen och inte heller någon allmänt accepterad definition på vad som utgör en patientjournal. För ett fåtal personalgrupper och för vissa verksamhetsformer inom hälso- och sjukvårdsområdet fanns dock författningsreglering i form av ett mycket stort antal förordningar och myndighetsföreskrifter. För att ta något exempel fanns bestämmelser om att läkare i den öppna vården var skyldig att föra journal. Någon skyldighet för läkare inom sluten vård att föra journal fanns dock inte. Enhetliga bestämmelser om vad en journal skulle innehålla fanns över huvud taget inte. Patientjournallagens införande innebar alltså en stor reform i riktning mot en mer enhetlig patientdokumentation inom hälso- och sjukvården.
Patientjournallagen bygger väsentligen på det förslag till lag om patientjournaler som lämnades av Journalutredningen i dess huvudbetänkande Patientjournalen (SOU 1984:73). Journalutredningen angav att den såg sitt uppdrag som ett led i det vid den tiden omfattande reform- och lagstiftningsarbetet på hälso- och sjukvårdens område som förenklat kan sägas ha inneburit åtgärder för att öka säkerheten och stärka patientens ställning i vården samt föra över uppgifter och beslutsbefogenheter från staten till landstingen (a. bet. s. 11).
I patientjournallagen finns de grundläggande bestämmelserna om all patientjournalföring inom hälso- och sjukvården. Lagen gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt.
I 1 § patientjournallagen anges att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. En patientjournal är individuell
och skall föras för varje enskild patient. Den får inte vara gemensam för flera patienter.
Journalen består, enligt 2 § patientjournallagen, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling.
Patientjournallagen innehåller därutöver bestämmelser om patientjournalens innehåll, utformning och hantering (3–7 §§) och vilka yrkeskategorier som är skyldiga att föra journal och på begäran av patienten utfärda intyg om vården (9 och 10 §§). Vidare finns bestämmelser om hur journalhandlingar skall bevaras (8 §), om omhändertagande och återlämnande av patientjournaler (11–14 §§) och om offentlighet och sekretess inom enskild hälso- och sjukvård (16 §). I fråga om offentlighet och sekretess inom den allmänna hälso- och sjukvården finns hänvisningar till tryckfrihetsförordningen och sekretesslagen (1980:100). Slutligen bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela ytterligare föreskrifter (18–20 §§).
Lagen kompletteras av en rad författningar, främst föreskrifter och allmänna råd från Socialstyrelsen. Ett exempel är Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen vilka är av stor betydelse, eftersom de gäller generellt för all journalföring inom hälso- och sjukvården. Därutöver finns ett antal särskilda föreskrifter om journalföring inom specifika verksamhetsområden, t.ex. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1989:12) om tillämpningen av patientjournallagen (1985:562) inom skolhälsovården. Vidare finns bestämmelser varav följer att patientjournaler skall föras även i annan medicinsk verksamhet än hälso- och sjukvård, se t.ex. 2 § lagen (2001:499) om omskärelse av pojkar.
På regeringens uppdrag gjorde Socialstyrelsen under år 2000 och 2001 en utvärdering och översyn av patientjournallagen. Enligt uppdraget skulle i utvärderingen ingå en analys av kraven på och formerna för journaldokumentationen. Utifrån denna utvärdering skulle Socialstyrelsen föreslå de förändringar och den författningsreglering som är påkallade mot bakgrund av den utveckling som har ägt rum inom hälso- och sjukvården. Översynen resulterade i en skrivelse till regeringen i december 2001, Patientjournallagen – En översyn med förslag till författningsändringar. I skrivelsen lämnades förslag till ett flertal sakliga ändringar i patientjournallagen. De mer väsentliga
förslagen redovisas i avsnitten nedan. Flera av förslagen bygger vidare på erfarenheter och analyser som Socialstyrelsen gjorde i en tidigare utredning om administrationen i vården. Utredningen lämnade i januari 2000 rapporten Omfattningen av administration i vården. I rapporten lämnades ett flertal förslag som alla syftade till att få bort onödig administration i vården.
10.2.2. Vårdregisterlagen
Patientjournallagen är, som tidigare nämnts, teknikneutral. Till den del journalföring sker elektroniskt är även bestämmelserna i vårdregisterlagen och personuppgiftslagen (1998:204) tillämpliga.
Enligt 1 § vårdregisterlagen får den som bedriver vård utföra automatiserad behandling av personuppgifter i vårdregister. Med vård avses vård enligt hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).
Vårdregisterlagen omfattar register som förekommer inom vårdens individinriktade verksamhet. Enligt 3 § får personuppgifter i ett vårdregister behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall (3 § vårdregisterlagen). Personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister får även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning (4 § vårdregisterlagen).
Ett vårdregister får innehålla dels uppgifter som skall ingå i en patientjournal, dels andra uppgifter som antecknas i och för vården av patienter eller som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 § vårdregisterlagen).
I vårdregisterlagen finns därutöver bestämmelser om i vad mån uppgifter får hämtas till ett vårdregister från andra register genom samkörning (6 §), i vad mån direktåtkomst till uppgifter i ett vårdregister får medges (8 §) samt i vad mån uppgifter får lämnas ut från ett vårdregister på medium för automatiserad behandling (9 §). Vidare finns bestämmelser om att vissa sökbegrepp inte får användas (7 §)
samt om vilken information om personuppgiftsbehandlingen som måste lämnas till en registrerad (11 §).
När det gäller patientjournalhandlingar som ingår i ett vårdregister finns hänvisningar till bestämmelser i patientjournallagen om bevarande och gallring, om begränsningar i fråga om utlämnande av personuppgifter och om begränsningar i skyldigheten att vidta rättelse m.m. Hänvisningar finns också till sekretesslagen och, i fråga om rättelse och skadestånd, till personuppgiftslagen.
Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen). Personuppgiftslagen gäller dock inte i den mån avvikande bestämmelser finns i annan lag eller förordning.
10.3. Våra utgångspunkter
Vårt huvuduppdrag är att lämna förslag till en väl fungerande och sammanhängande reglering av behandlingen av personuppgifter inom hälso- och sjukvården. I detta syfte har vi i avsnitt 7 föreslagit att det skall införas en ny lag – patientdatalagen – med generellt tillämpliga bestämmelser om journalföring och annan personuppgiftsbehandling inom hälso- och sjukvården. Förslaget innebär bl.a. att bestämmelserna i patientjournallagen och vårdregisterlagen skall arbetas in i den nya lagen. Vi skall därutöver göra en översyn av patientjournallagen i den utsträckning som redogjorts för i avsnitt 10.1.
En utgångspunkt för våra överväganden och förslag skall enligt direktiven vara att hanteringen av personuppgifter inom hälso- och sjukvården skall säkras samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skall stärkas. En annan utgångspunkt skall vara att all journalföring i framtiden i huvudsak är elektronisk.
Patientjournalföringen är av fundamental betydelse för vård- och behandlingsarbetet inom hälso- och sjukvården. Dokumentationen av olika åtgärder kan vara helt avgörande för patientsäkerheten. Om vårdgivare kan ha direktåtkomst till varandras journaler som vi föreslår skall vara möjligt, får dokumentationen rimligen ännu större betydelse än i dag. Fler personer blir då involverade i journalföringen beträffande en patient. Till detta kommer att uthyrning av personal från bemanningsföretag kraftigt har ökat under senare tid och inte
minst den större rörligheten hos både patienter och personal man märkt under senare år.
Det är mot denna bakgrund viktigt att regleringen på området är enkel och att den är anpassad till framtida förhållanden. Kravet på en klar och tydlig reglering ökar då väldigt många personer skall anteckna journaluppgifter i samma journal. Sjukhusgemensamma journaler kan redan i dag innehålla en mängd journaluppgifter från olika kliniker. Vid sammanhållen journalföring blir det än viktigare att journalspråket är enhetligt, dvs. att de begrepp och termer som används är gemensamma.
En viktig utgångspunkt är också att regleringen inte föranleder onödigt administrativt arbete för hälso- och sjukvårdspersonalen. Detta förutsätter att journalföringen framöver blir mer enhetlig. Samma journaluppgifter bör vidare om möjligt bara noteras en gång. Dubbeldokumentation tynger journalerna och gör dem svårtillgängliga. En annan viktig fråga i sammanhanget är journalernas struktur. En enhetlig struktur underlättar för den som skall journalföra något att konstatera huruvida en uppgift redan finns antecknad i journalen och alltså inte behöver journalföras på nytt.
Det ligger i sakens natur att en lagreglering på området inte kan göras uttömmande. Verksamheten på hälso- och sjukvårdsområdet är för komplex för att man i lag skall kunna reglera journalföringen i detalj. Lagstiftningen kan därför bara innehålla de väsentligaste reglerna. Det måste bli en ramlagstiftning. Lagreglerna måste liksom i dag kompletteras med bl.a. föreskrifter och allmänna råd om hur journaler i detalj skall föras. Vidare måste det i viss mån vara en uppgift för hälso- och sjukvårdspersonalen att närmare utveckla en praxis på området.
Vi vill i detta sammanhang också särskilt peka på Socialstyrelsens viktiga arbete med att ta fram en enhetlig informationsstruktur inom hälso- och sjukvården med bl.a. gemensamma standarder. En förutsättning för sammanhållen journalföring är att det finns en enhetlig informationsstruktur, dvs. att dokumentationen följer vissa gemensamma regler som gör det möjligt för de olika vårdgivarnas IT-system att effektivt hantera informationen. En annan förutsättning för sammanhållen journalföring är att det finns en för hälso- och sjukvården gemensam begrepps- och terminologiapparat. Här vi vill framhålla Socialstyrelsens viktiga arbete rörande normering av begrepp och termer. Vi tror också att det är viktigt att man i framtiden försöker skapa kompatibla journalsystem. Därigenom skulle man minska de
tekniska hinder som i dag finns för överföring av information mellan olika vårdenheter eller vårdgivare.
10.4. Närmare om den nya regleringens innehåll
10.4.1. Allmänt
I enlighet med vårt förslag i avsnitt 7 skall regleringen av patientjournalföringen ingå i den nya patientdatalagen.
Liksom tidigare bör bestämmelserna om patientjournalföring gälla all hälso- och sjukvård, dvs. både den allmänna och den enskilda hälso- och sjukvården.
Den nuvarande patientjournallagen är teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt. Visserligen skall vi enligt våra direktiv ha som utgångspunkt att all journalföring i framtiden i huvudsak skall vara elektronisk. Det kommer emellertid under överskådlig tid förekomma att journaler förs helt eller delvis på papper. Den nya regleringen beträffande patientjournalföring bör därför även fortsättningsvis vara teknikoberoende.
10.4.2. Patientjournalens syfte
Vår bedömning: Det behövs inte någon bestämmelse i patientdatalagen som preciserar patientjournalens syfte.
Patientjournallagen anger inte uttryckligen vilket eller vilka syften journalföringen har. Enligt lagens förarbeten är journalens grundläggande syfte att tillgodose patientens intresse av en god och säker vård. Journalen är därvid ett viktigt arbetsinstrument för hälso- och sjukvårdspersonalen för planering, genomförande och uppföljning av vården. Samtidigt skall journalen tillgodose kraven på rättssäkerhet och integritet. Även forskningens behov bör enligt förarbetena beaktas när så är möjligt (prop. 1984/85:189 s. 12 f.).
I Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen utvecklas patientjournalens ändamål. Bl.a. anges att kravet på dokumentation utgår från patientsäkerheten i dess vidaste bemärkelse, dvs. inte bara från terapeutisk synpunkt utan även från diagnostisk. Vidare anges att en patientjournal först och främst är
avsedd att vara stöd för den eller de personer som ansvarar för patientens vård. Den utgör arbetsverktyg eller underlag för bedömningen av de åtgärder som kan behöva vidtas av någon som inte tidigare har träffat patienten. Journalen är även en informationskälla för patienten om erhållen vård. Vidare utgör den ett viktigt instrument i kvalitets-, säkerhets-, uppföljnings- och utvärderingsarbetet inom vården samt ett underlagsmaterial vid tillsyn och kontroll av den vård som patienten erhållit. Patientjournalen har även stor betydelse som underlag i vissa legala sammanhang och för forskningen.
Socialstyrelsen föreslår i sin tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) att det i lagen införs en bestämmelse om patientjournalföringens syften. I första hand är syftet att bidra till en god och säker vård av patienten. Vidare föreslås att det anges att en patientjournal är viktig även som informationskälla för patienten, för uppföljning och utveckling av verksamheten, för tillsyn och andra rättsliga krav samt för forskningen. Enligt Socialstyrelsen är förslaget i princip en kodifiering av vad som i detta avseende anges i patientjournallagens förarbeten och i Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen. Förslaget motiverades med att utvecklingen under senare år medfört ett ökat fokus även på andra syften med journalföringen än en god och säker vård av patienten och att det är väsentligt att hälso- och sjukvårdspersonalen förstår och accepterar journalföringens flerfaldiga syften.
Vår bedömning
Vår uppfattning är att journalens grundläggande syfte alltjämt bör vara att tillgodose patientens intresse av en god och säker vård. Patientjournalen bör även fortsättningsvis i första hand vara ett arbetsinstrument för hälso- och sjukvårdspersonalen. Journalen kommer även fortsatt att ha betydelse inte bara för patienten själv utan även som t.ex. underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring.
Det är möjligt att det skulle finnas fördelar med att införa en bestämmelse om patientjournalföringens syften. Vissa av de remissinstanser som yttrade sig över Socialstyrelsens förslag om en sådan bestämmelse tillstyrkte också förslaget. Enligt vår uppfattning har det dock inte i förhållande till nuvarande reglering av patientjournal-
föringen framkommit något behov av att i lag precisera patientjournalens syfte. Vi föreslår därför inte någon sådan bestämmelse.
10.4.3. Skyldigheten att föra patientjournal och utfärda intyg
Vår bedömning: Patientjournallagens bestämmelser om kravet på journalföring, vem som är skyldig att föra patientjournal och skyldigheten att på begäran av patienten utfärda intyg om vården bör föras över oförändrade till patientdatalagen.
I 1 § patientjournallagen slås fast att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Kravet på journalföring gäller dock endast den individuellt inriktade verksamheten inom hälso- och sjukvården.
Patientjournallagen medger inga undantag från journalföringsplikten. Denna skyldighet gäller t.ex. alldeles oberoende av den enskildes inställning till dokumentationen. Samtycke till journalföringen krävs alltså inte och någon rätt till anonymitet i vården finns i princip inte.
TPF
1
FPT
Detta har motiverats med att patientsäkerheten kräver att
identiteten och andra för vården viktiga uppgifter dokumenteras i journalen. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som till varje pris motsätter sig journalföringen avstå från vården. En annan sak är förstås att patienten genom att välja ut vilka upplysningar han eller hon lämnar i samband med vården kan begränsa innehållet i sin journal.
Förs en patientjournal elektroniskt, ingår den i ett vårdregister och omfattas av bestämmelserna i vårdregisterlagen. Enligt den lagen får vårdregister föras oberoende av patientens inställning till personuppgiftsbehandlingen. Patientens samtycke till personuppgiftsbehandlingen eller registreringen krävs alltså inte. I lagens förarbeten anfördes bl.a. att en konsekvens av ett samtyckeskrav skulle vara att en vårdgivare som önskar använda IT för journalföring måste föra
TP
1
PT
Enda undantaget gäller om en patient begär att ett prov för infektion av HIV tas anonymt.
I ett sådant fall skall patientens identitet inte antecknas i journalen, se förordningen (1986:198) om provtagning för infektion av HIV. Om resultatet av provtagningen visar att patienten har antikroppar mot HIV, skall dock identitetsuppgifterna antecknas i journalen.
patientjournaler enligt två parallella system, ett manuellt för det fåtal patienter som inte accepterar automatiserad behandling och ett automatiserat för övriga patienter. Enligt regeringen skulle en sådan dubbelregistrering kunna få otillfredsställande återverkningar både på den arbetsmässiga och på den finansiella situationen för registerhållaren (prop. 1997/98:108 s. 83 f.).
Av 1 § patientjournallagen följer att en patientjournal är individuell och skall föras för varje enskild patient. Den får alltså inte vara gemensam för flera patienter. Däremot kan det finnas flera journaler för en och samma patient.
Föreskrifter om vem som är skyldig att föra patientjournal finns i 9 § patientjournallagen. Där anges att den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke har sådan skyldighet. Följande 21 yrkeskategorier är i dag legitimerade och följaktligen journalföringspliktiga. Apotekare, arbetsterapeut, audionom, barnmorska, biomedicinsk analytiker, dietist, kiropraktor, logoped, läkare, naprapat, optiker, ortopedingenjör, psykolog, psykoterapeut, receptarie, röntgensjuksköterska, sjukgymnast, sjukhusfysiker, sjuksköterska, tandhygienist samt tandläkare. Skyldig att föra patientjournal är vidare den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare. Slutligen är den som är verksam som kurator i den allmänna hälso- och sjukvården skyldig att föra patientjournal.
Genom den enhetliga regleringen av journalföringsskyldigheten i patientjournallagen har således journalföringen blivit en del av de berörda yrkesutövarnas medicinska yrkesansvar. Gemensamt för dem alla är att var och en svarar för sina uppgifter i journalen. Disciplinpåföljd kan åläggas den enskilde yrkesutövaren vid underlåten eller bristfällig journalföring. Även andra åtgärder kan vidtas. Prövning härav sker av Hälso- och sjukvårdens ansvarsnämnd enligt bestämmelser i 7 kap. lagen om yrkesverksamhet på hälso- och sjukvårdens område. Ärenden i nämnden kan initieras av Socialstyrelsen, patienten i fråga eller, om patienten inte själv kan anmäla saken, en närstående till patienten.
Arbetsuppgifter som t.ex. journalföring kan under vissa förutsättningar delegeras till personer som inte är skyldiga att föra journal, se 2 kap. 6 § lagen om yrkesverksamhet på hälso- och sjukvårdens
område. Den som delegerar en arbetsuppgift till någon annan är ansvarig för att den som tar emot uppgiften kan fullgöra den. Den som får uppgiften genom delegation är själv ansvarig för hur den fullgörs.
Med skyldigheten att föra journal följer enligt 10 § patientjournallagen en skyldighet att på begäran av patienten utfärda intyg om vården. Ett sådant intyg skall enligt förarbetena till lagen innehålla de uppgifter om undersökningen, vården och behandlingen som behövs för det av patienten begärda ändamålet (prop. 1984/85:189 s. 47). Det kan vara fråga om intyg till försäkringskassa, försäkringsbolag, domstol etc.
I Socialstyrelsens tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) föreslås att regeringen eller den myndighet regeringen bestämmer (Socialstyrelsen) skall kunna meddela undantag när det gäller de journalföringspliktiga yrkeskategorierna. Enligt förslaget kan det särskilt vara aktuellt med undantag för apotekare och receptarier i vars yrkesutövning det ofta ter sig överflödigt att föra patientjournal. Vidare föreslås att kuratorer inom allmän hälso- och sjukvård inte längre skall vara skyldiga att föra journal, i vart fall inte som huvudregel. Socialstyrelsen föreslår också att vikarier för alla legitimerade yrkeskategorier skall vara skyldiga att föra journal. Vidare skall en verksamhetschef eller motsvarande befattningshavare kunna bestämma vilken ytterligare personal som skall ha skyldighet att föra patientjournaler och att följa lagens bestämmelser. När det gäller vilken hälso- och sjukvårdspersonal m.fl. som skall vara skyldig enligt lag att föra patientjournal innebär Socialstyrelsens förslag således en inte obetydlig utvidgning. Dessutom föreslås att det i lagen uttryckligen skall anges att även den som utan skyldighet att göra det dokumenterar uppgifter i en patientjournal, skall vara skyldig att följa lagens bestämmelser.
I fråga om intyg om vården föreslår Socialstyrelsen ingen principiell ändring av skyldigheten att utfärda sådana, dock att det införs en bestämmelse om vad intyget måste innehålla, om patienten begär det.
Generaldirektören Karin Lindell har haft i uppdrag att biträda Justitiedepartementet med en analys rörande försäkringsbolags tillgång till patientjournaler. Uppdraget redovisades i maj 2005 i departementspromemorian Försäkringsbolags tillgång till patientjournaler (Ds 2005:13). Av den kartläggning som gjorts framgår att försäkringsbolag regelmässigt begär in fullmakt från en försäkringssökande (eller annan som skall försäkras) vid tecknande av en individuell person-
försäkring som skall hälsoprövas. Detta sker normalt i samband med att sökanden skriver under en hälsodeklaration. Motsvarande gäller vissa typer av gruppförsäkringar och kollektivavtalade försäkringar. En övervägande majoritet av försäkringsbolagen använder s.k. generella fullmakter. De är inte tidsbegränsande och innehåller inte några inskränkningar beträffande vilka sjukvårdsinrättningar eller försäkringsinrättningar bolagen har rätt att vända sig till. Fullmakterna täcker som regel även inhämtande av hälsoupplysningar vid framtida skadereglering.
I promemorian föreslås att försäkringsbolagens möjligheter att med stöd av fullmakt begära in kompletta patientjournaler direkt från hälso- och sjukvården skall begränsas genom en ny förordning om begränsat utnyttjande av fullmakter på försäkringsområdet.
Som skäl till förslaget anges bl.a. att försäkringsbolagen genom fullständiga patientjournaler får tillgång till information i betydligt större utsträckning än vad som rimligen kan vara motiverat för deras försäkringsmässiga bedömningar. Bolagens tillgång till sådan s.k. överskottsinformation innebär ett omotiverat intrång i den personliga integriteten. Vidare anges att informationsmängden dessutom kommer att öka i takt med att det sker en övergång till elektroniska journaler som ingår i journalsystem till vilka allt fler vårdinrättningar är anslutna (a.a. s. 11 f.).
Enligt förslaget skall försäkringsbolagens behov av information om den enskildes hälsa i stället tillgodoses genom preciserade frågor som läkare och andra behöriga uppgiftslämnare besvarar genom intyg eller bearbetade journalutdrag. Med ett bearbetat journalutdrag avses en sammanställning (utan ändringar eller tillägg) av relevanta journalanteckningar och annan relevant information som finns i en patientjournal. I promemorian föreslås att det i 10 § patientjournallagen görs ett särskilt tillägg angående skyldigheten för journalföringspliktiga att utfärda bearbetade journalutdrag.
Vår bedömning
Som framgått tidigare påverkas journalföringsplikten inte av att journalen förs elektroniskt. Socialstyrelsens förslag när det gäller vilken hälso- och sjukvårdspersonal m.fl. som skall vara skyldig enligt lag att föra patientjournal innebär, såsom tidigare sagts, en inte obetydlig utvidgning av gällande rätt. Journalföringsplikten ingår inte uttryckligen i de frågeställningar som vi enligt våra direktiv skall behandla.
Vi har inte heller haft möjlighet att närmare utreda denna fråga eller frågan om det bör finnas möjlighet att i vissa fall meddela undantag från skyldigheten att föra journal. Vi föreslår därför inga ändringar av patientjournallagens bestämmelser om kravet på journalföring, vem som är skyldig att föra patientjournal och skyldigheten att på begäran av patienten utfärda intyg om vården utan dessa bestämmelser bör föras över oförändrade till patientdatalagen.
10.4.4. Patientjournalens innehåll
Vår bedömning och våra förslag: I patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vårdregisterlagen om hur mycket information som en patientjournal får innehålla.
Patientjournallagens bestämmelse om att information och samtycke som har lämnats enligt biobankslagen skall dokumenteras i patientjournalen flyttas till biobankslagen. Patientjournallagens bestämmelser i övrigt om vilka uppgifter en patientjournal skall innehålla kan föras över oförändrade till patientdatalagen.
I patientdatalagen införs en bestämmelse om att i det fall patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall detta antecknas i journalen.
Patientjournallagens bestämmelse om signeringskravet förs över oförändrad till patientdatalagen. Det införs dock en bestämmelse som bemyndigar regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från signeringskravet.
Patientjournallagens bestämmelse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så, att patientens integritet respekteras utvidgas till att avse inte bara uppgifter i journalhandlingar utan all utformning och behandling av personuppgifter inom hälso- och sjukvården. Vidare skall inte bara patienters integritet respekteras utan även övriga registrerades integritet.
Journalen består, enligt 2 § patientjournallagen, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling. Lagen är, som
tidigare nämnts, teknikneutral. Journalhandlingar behöver således inte vara pappershandlingar utan kan bestå av elektroniska upptagningar, video- eller diktafonupptagningar, fotografier m.m. I 2 § anges att som journalhandling avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Ordalydelsen överensstämmer med definitionen av begreppet handling i 2 kap. 3 § första stycket tryckfrihetsförordningen.
Av patientjournallagens förarbeten framgår att det grundläggande syftet med patientjournalen är en god och säker vård av patienten. Journalen skall i första hand kunna användas av hälso- och sjukvårdspersonalen som ett arbetsinstrument för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjlighet att utöva tillsyn över hälso- och sjukvården. Journaluppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga sammanhang, t.ex. i klinisk och epidemiologisk forskning (prop. 1984/85:189 s. 12 f.).
Grundläggande bestämmelser om vad en patientjournal skall innehålla infördes i huvudsak genom patientjournallagen. Enligt lagens förarbeten var utgångspunkten för förslagen att det som antecknas i journalen skall kunna tjäna patientens intresse av en god och säker vård samtidigt som rättssäkerhets- och integritetsintressena tas tillvara (a. prop. s. 14).
Patientjournallagen preciserar inte, med några undantag, i detalj vad som skall journalföras utan föreskriver att en patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten, se 3 § patientjournallagen. Uppgifterna skall föras in i journalen så snart det kan ske.
Om uppgifterna föreligger, skall en patientjournal alltid innehålla
1. uppgift om patientens identitet
TPF
2
FPT
,
2. väsentliga uppgifter om bakgrunden till vården,
3. uppgift om ställd diagnos och anledning till mera betydande åt-
gärder,
4. väsentliga uppgifter om vidtagna och planerade åtgärder,
5. uppgift om den information som lämnats till patienten och om
de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning samt
TP
2
PT
Detta gäller inte i samband med provtagning för infektion av HIV, om patienten begär att
ett sådant prov tas anonymt, se förordningen om provtagning för infektion av HIV. Uppgift om patientens identitet skall dock antecknas om resultatet av provtagningen visar att patienten har antikroppar mot HIV.
6. uppgift om information och samtycke som lämnats enligt lagen
(2002:297) om biobanker i hälso- och sjukvården m.m.
Denna uppräkning är inte uttömmande. Kravet på en god och säker vård av patienten kan innebära att ytterligare uppgifter måste dokumenteras. Vad detta konkret innebär kan variera mellan olika yrkesutövare och olika verksamheter (a. prop. s. 39).
Enligt nyss nämnda paragraf skall patientjournalen vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.
Patientjournallagens bestämmelser utgör minimiregler och anger alltså vad som minst måste dokumenteras i en patientjournal. Därutöver finns bestämmelser i andra författningar om vad journalen skall innehålla, se t.ex. 4 kap. 2 § smittskyddslagen och 2 § förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård. Vidare behandlar Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen bl.a. innehållet i patientjournalen. Exempelvis anges att allvarligare överkänslighet skall antecknas på särskilt sätt i journalen i enlighet med en tidigare meddelad föreskrift i ämnet och att det skall finnas betryggande rutiner för dokumentation av all läkemedelshantering. Därutöver föreskrivs att journalen skall innehålla en tydlig omvårdnadsdokumentation av visst innehåll som preciseras i ett antal föreskrifter.
Patientjournallagen innehåller inga bestämmelser som anger hur mycket information som en patientjournal får innehålla. Av 5 § vårdregisterlagen följer dock att en elektroniskt förd patientjournal endast får innehålla de uppgifter som enligt lag eller annan författning skall antecknas i en patientjournal. Den får även innehålla andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall.
Enligt sista stycket i 3 § patientjournallagen skall en journalanteckning om inte synnerligt hinder möter signeras av den som svarar för uppgiften.
Signeringskravet fanns inte med i lagförslaget i propositionen om patientjournallag m.m. (prop. 1984/85:189). Föredragande statsrådet ansåg att kontrolläsning var motiverad av säkerhetsskäl och att det således vore önskvärt att ställa upp ett krav på genomläsning och signering av varje journalanteckning. Statsrådet ansåg det dock av bl.a. praktiska och ekonomiska skäl inte vara möjligt att föreskriva en obligatorisk skyldighet för den som svarar för journalanteck-
ningen att också signera denna (a.a. s. 19 f.). I Socialutskottets betänkande SoU 1984/85:33 behandlades ett antal motioner om signeringskrav. Utskottet ansåg att sådana regler som är av särskilt stor betydelse för patientens trygghet bör tas in i själva patientjournallagen. Till dessa viktiga regler måste enligt utskottets mening räknas ett krav på genomläsning av anteckningar som läggs till grund för behandlingsåtgärder och medicinering. Missförstånd och felskrivningar kan här bli ödesdigra. Utskottet hade förståelse för att ett sådant krav i vissa lägen kan ge upphov till praktiska problem. Detta fick dock inte hindra en regel som är så starkt motiverad av hänsyn till patientens säkerhet (a.a. s. 9).
Varje uppgift i en journalhandling som upprättas inom hälso- och sjukvården skall enligt 4 § patientjournallagen utformas så, att patientens integritet respekteras. Enligt förarbetena skall uppgifterna vila på ett korrekt underlag och inte vara av nedsättande eller kränkande karaktär. Hänsynen till patienten förutsätter därvid en betydande återhållsamhet när det gäller uppgifter om patientens privatliv. Detsamma gäller subjektiva värderingar som bara bör få förekomma om de grundas på korrekt underlag och är av verklig betydelse för medicinska ställningstaganden. Respekten för patientens integritet medför även andra begränsningar, t.ex. när det gäller användningen av videoteknik i den psykiatriska vården. Uppgifter om tredje person bör så långt möjligt undvikas (prop. 1984/85:189 s. 14 f. och 20 f.).
I Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen anges att känsliga uppgifter som patienten meddelat i förtroende inte ogenomtänkt skall föras in i journalen. I den mån uppgifterna är relevanta för tolkning av sjukdomsbilden skall de givetvis skrivas in, vilket ställer särskilda krav på utformningen. Socialstyrelsen tillägger att journalen dock mera sällan behöver innehålla detaljerade återgivanden.
I den tidigare nämnda skrivelsen om patientjournallagen (se avsnitt 10.2.1) föreslår Socialstyrelsen – mot bakgrund av den tidigare utredningen och rapporten Omfattningen av administration i vården – en ändring av patientjournallagens signeringskrav till att som minimikrav bara omfatta uppgifter om anamnes, diagnos, läkemedelsförskrivningar, beslut om vårdåtgärder och epikris. Därutöver föreslås verksamhetschefen utifrån främst patientsäkerhetsskäl bestämma i vad mån signering skall ske. Skälet till förslaget är att signeringskravet inte minst i fråga om pappersjournaler och vid diktering visat sig vålla merarbete och andra problem i arbetet. Vidare påtalar Socialstyrelsen att det finns skäl att i lagen förtydliga hur omfattande
dokumentationen måste vara i fråga om vilken information som lämnats till patienten. Socialstyrelsen fann det dock inte möjligt att göra det inom ramen för dess arbete, utan föreslog att frågan skulle bli föremål för ytterligare överväganden.
Våra överväganden i fråga om vilka uppgifter en patientjournal får innehålla
Som framgått tidigare innehåller den nuvarande regleringen i vårdregisterlagen en begränsning av hur mycket information som får finnas i en elektroniskt förd patientjournal. Vi har ställt oss frågan om det finns skäl att tillåta att patientjournaler framöver innehåller mer information än vad som får ske i dag.
Med tanke på att de primära ändamålen för vilka personuppgifter föreslås få behandlas inom hälso- och sjukvården enligt patientdatalagen (se avsnitt 8.2.3) är fler än de som anges i vårdregisterlagen menar vi att det finns fog för en bestämmelse motsvarande vårdregisterlagens begränsning. Det är från integritetssynpunkt väsentligt att patientjournaler inte innehåller mer information än som behövs i det individinriktade arbetet.
Mot bakgrund av det sagda föreslår vi att det i patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vårdregisterlagen om hur mycket information som en patientjournal får innehålla. Bestämmelsen innebär att en journal, liksom i dag, får innehålla de uppgifter som enligt lag eller annan författning skall antecknas i en patientjournal. Därmed avses även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Vidare får journalen innehålla andra uppgifter som behövs i och för vården av patienter eller som behövs för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Bestämmelsen kommer således att avse uppgifter som omfattas av vårt förslag om personuppgiftsbehandling för ändamålet vårddokumentation (se avsnitt 8.2.3). För tydlighetens skull bör här nämnas att uppgift om att det finns spärrade patientuppgifter (se avsnitt 11.3.3 och 12.4) utgör vårddokumentation och således får finnas i en patientjournal.
Våra överväganden i fråga om vilka uppgifter en journal skall innehålla
Som framgått tidigare innehåller patientjournallagen de grundläggande bestämmelserna om all patientjournalföring. Särskilda bestämmelser om vad en patientjournal i vissa fall skall innehålla återfinns – med ett undantag – i annan författning. Undantaget utgörs av punkten 6 i uppräkningen i 3 § andra stycket patientjournallagen om vilka uppgifter som, om de föreligger, skall finnas i en patientjournal. Denna punkt avser uppgift om information och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen).
I 3 kap. 7 § biobankslagen föreskrivs att uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt. Vidare anges att särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen. I förarbetena anges att patientens samtycke bör dokumenteras både i patientjournalen och i de personuppgifter som förvaras i anslutning till banken (prop. 2001/02:44 s. 38). Något skäl till varför kravet på dokumentation i patientjournalen tagits in i patientjournallagen i stället för att regleras i särlagstiftningen (i det här fallet biobankslagen) såsom annars är fallet framgår däremot inte av förarbetena.
Bestämmelserna i patientdatalagen om vad en patientjournal skall innehålla bör enligt vår uppfattning endast ange de grundläggande kraven på dokumentation. Särregler om journalers innehåll bör liksom i dag finnas i andra författningar. Vi föreslår därför att patientjournallagens bestämmelse om att information och samtycke som har lämnats enligt biobankslagen skall dokumenteras i patientjournalen flyttas till biobankslagen.
När det gäller patientjournallagens bestämmelser i övrigt om vilka uppgifter en patientjournal skall innehålla anser vi att dessa kan föras över oförändrade till patientdatalagen.
En annan fråga som inte tidigare tagits upp men som vi anser är av betydelse från integritetssynpunkt, är patientens möjligheter att invända mot journaluppgifter som han eller hon anser är oriktiga eller missvisande. I avsnitt 10.4.6 och 10.4.8 redogör vi för vad som gäller i fråga om rättelse av journaluppgifter och förstörande av journal. För att rättelse av en journaluppgift skall ske på patientens begäran krävs att patienten och den som ansvarar för uppgiften är ense om felaktigheten. Patientens möjligheter att få journaluppgifter utplånade är i realiteten små eller i vart fall omständliga. Vi menar att det
behövs ett komplement till bestämmelserna om rättelse och journalförstöring. I takt med att stora eller kompatibla journalsystem införs som följer patienten genom vårdapparaten kan det enligt vår uppfattning bli av betydelse för enskilda patienter att kunna markera missnöje med journaluppgifter som man av någon anledning anser är felaktiga.
Vi föreslår därför en ny bestämmelse om att det i journalen skall antecknas om en patient anser att en uppgift är oriktig eller missvisande. Det kan nämnas att en motsvarande bestämmelse finns i 11 kap. 6 § socialtjänstlagen (2001:453) när det gäller dokumentation inom socialtjänstens verksamhet avseende genomförande av beslut om stödinsatser, vård och behandling samt handläggning av ärenden rörande enskilda. Vi menar att en sådan bestämmelse bör ingå bland de grundläggande reglerna om patientjournalföring som gäller både för manuellt och elektroniskt förda patientjournaler.
Det har i utredningen framförts vissa farhågor om att bestämmelsen kan komma att leda till merarbete för journalföraren samt även risk för att journalföraren, med tanke härpå, avstår från att journalföra viss information som man anar att patienten kan ha invändningar emot. Vi tror emellertid att bestämmelsen i sig inte kommer att leda till något nämnvärt merarbete för journalförarna. I vilken omfattning patienter kommer att vilja anmärka på journalanteckningar sammanhänger inte minst med i vilken mån patienter faktiskt utnyttjar sin rätt att få läsa sin journal. Bestämmelsen om att patientens anmärkningar skall antecknas kan därvid lika gärna innebära en lättnad för journalföraren såsom ett sätt att lösa en meningsskiljaktighet med patienten om innehållet i journalen. Inte heller tror vi att bestämmelsen som sådan kommer att leda till att journalförare avstår från att journalföra viss information som rätteligen skall antecknas i journalen.
Det kan poängteras att förslaget inte innebär någon rätt för patienten att själv skriva i journalen. De grundläggande bestämmelserna om patientjournalföring är en reglering av vad som måste göras i fråga om journalföring. Enligt vår uppfattning finns därutöver inget förbud mot att patienter tillåts att mera direkt bidra till innehållet i journalen genom att t.ex. registrera uppgifter från egenvård såsom mätvärden eller liknande
TPF
3
FPT
.
TP
3
PT
Vare sig patienten själv kan elektroniskt föra in uppgifter i journalen eller inte, anser vi att
uppgifterna får ses som sådana inkomna handlingar som avses i nuvarande 2 § patientjournallagen och – i förekommande fall - även enligt 2 kap. tryckfrihetsförordningen.
Våra överväganden i fråga om signeringskravet
De patientsäkerhetsskäl som anfördes vid införandet av signeringskravet gäller fortfarande. Dessa skäl gäller än mer vid anteckningar i stora eller kompatibla journalsystem där anteckningarna kan komma att läggas till grund för behandlingsåtgärder och medicinering av andra vårdenheter än den där anteckningarna gjorts. I sådana fall är det av särskild vikt att uppgifterna dessförinnan har kontrollästs så att risken för missförstånd och felskrivningar kan minimeras. Det lagstadgade kravet på att journalanteckningar, om inte synnerligt hinder möter, skall signeras av den som svarar för uppgiften bör därför finnas kvar.
Det går dock inte att bortse från de praktiska olägenheter som signeringskravet medför i form av merarbete och andra problem i arbetet. Socialstyrelsen har upplyst att många journalanteckningar i dag förblir osignerade. Hälso- och sjukvårdens hantering av signeringskravet är inte heller enhetlig utan påverkas enligt Socialstyrelsen sannolikt av synen på nödvändigheten att signera och de resurser som läggs ned på att få vissa anteckningar signerade.
Vi har förståelse för att det kan finnas skäl att göra undantag från signeringskravet när man väger nyttan av signeringen mot det merarbete som signeringskravet innebär. Bedömningen av när signering kan underlåtas bör överlåtas till den myndighet som utifrån patientsäkerhetssynpunkter m.m. kan göra en bedömning av när undantag kan föreskrivas utan risker för patientsäkerheten eller andra viktiga faktorer som talar för signering. Vi föreslår därför att regeringen eller den myndighet som regeringen bestämmer, förslagsvis Socialstyrelsen, bemyndigas att meddela föreskrifter om undantag från signeringskravet.
Genom att bemyndiga t.ex. Socialstyrelsen att meddela undantag i stället för att låta verksamhetschefen avgöra när signering kan underlåtas uppnås enhetlighet i fråga om signeringskravet, vilket är nog så viktigt i en hälso- och sjukvård där det blir alltmer vanligt att dokumentation i journaler blir läst och får betydelse hos andra vårdenheter.
Våra överväganden i fråga om utformning av uppgifter
Som framgått innehåller patientjournallagen bestämmelser om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så, att patientens integritet respekteras. Detta krav bör fortfarande gälla, men vi anser att det bör utvidgas till att avse all utformning och behandling av personuppgifter inom hälso- och sjukvården. Kravet bör vidare utvidgas till att gälla även övriga registrerades integritet.
10.4.5. Språket i journalen
Vår bedömning: De journalhandlingar som upprättas inom hälso- och sjukvården bör även fortsättningsvis som huvudregel vara skrivna på svenska språket. Patientjournallagens bestämmelse om språk vid journalföring behöver alltså inte ändras.
I vårt uppdrag ingår uttryckligen att utreda om bestämmelserna om språk vid journalföring tillgodoser patienternas rätt att ta del av sin journal.
Enligt 5 § patientjournallagen skall de journalhandlingar som upprättas inom hälso- och sjukvården vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten. Ett av skälen till att bestämmelsen infördes var att patienten själv skall kunna ta del av sin journal.
Regeringen eller den myndighet regeringen bestämmer (Socialstyrelsen) har bemyndigats att meddela föreskrifter om undantag från kravet på att journalspråket skall vara svenska. Sådana föreskrifter har meddelats i Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen
Bakgrunden till bemyndigandet anges i förarbetena till patientjournallagen vara att ett absolut upprätthållande av kravet på att journalspråket skall vara svenska inte är möjligt bl.a. av det skälet, att Sverige har internationella åtaganden att beakta som berör denna fråga. I propositionen anges vidare (prop. 1984/85:189 s. 51):
Den 25 augusti 1981 ingick Sverige, Danmark, Finland och Norge en överenskommelse om godkännande av vissa yrkesgrupper för verksamhet inom hälso- och sjukvården och veterinärväsendet. Genom överenskommelsen regleras villkoren för en fri nordisk arbetsmarknad för 17 yrkesgrupper tillhörande hälso- och sjukvårdspersonalen samt för veterinärer. Överenskommelsen har godkänts av riksdagen. Den innebär
bl.a. att läkare, tandläkare, sjuksköterskor m.fl. som är behöriga att utöva sitt yrke i de övriga fördragsslutande staterna också är behöriga att utöva sitt yrke här i landet om de uppfyller vissa krav. Som ett av dessa krav gäller att de besitter för yrket behövliga kunskaper i svenska, danska eller norska språket. Också för andra som fått sin utbildning utomlands krävs endast att de behärskar ett av de nämnda språken. För dem som är behöriga att utöva yrke inom hälso- och sjukvården utan att behärska svenska språket är det följaktligen inte möjligt att kräva journalföring på svenska. I dessa fall måste godtas att patientjournalen förs på danska eller norska språket.
Överenskommelsen från år 1981 har justerats och harmoniserats med EES-avtalet genom en ny överenskommelse som träffades år 1993.
TPF
4
FPT
Överenskommelsen har införlivats i svensk lagstiftning, se t.ex. 8 kap. 1 § förordningen (1998:1513) om yrkesverksamhet på hälso- och sjukvårdens område vari föreskrivs som villkor för att erhålla kompetensbevis att sökanden har för yrket nödvändiga kunskaper i svenska, danska eller norska språket.
Socialstyrelsen har också i avsnitt 10 punkt 1 i dess föreskrifter och allmänna råd om patientjournalen föreskrivit att den som efter utbildning utomlands erhållit kompetensbevis eller särskilt förordnande att utöva visst yrke får föra journal på danska eller norska. Eftersom det inte krävs något särskilt beslut av Socialstyrelsen för att någon skall få föra journal på danska eller norska, saknar Socialstyrelsen kunskap om i vilken utsträckning sådan journalföring sker.
Enligt punkt 2 i samma avsnitt i föreskrifterna får den som efter utomnordisk utbildning utövar ett yrke inom hälso- och sjukvården på grund av ett förordnande från Socialstyrelsen föra journal på engelska. Denna föreskrift infördes med anledning av att ett stort antal läkare (främst narkosläkare, radiologer och laboratorieläkare) från utlandet under 1990-talet förordnades som vikarier inom hälso- och sjukvården under somrarna. Eftersom dessa hade begränsad patientkontakt, ansågs det inte behövligt att ställa krav på att de hade kunskaper i svenska. Antalet sådana förordnanden har sjunkit kraftigt. Att någon får ett vikariatsförordnande innebär inte nödvändigtvis att denne för journal på engelska, utan han eller hon kan likaväl föra journal på svenska. Socialstyrelsen har därför ingen uppfattning om i vilken utsträckning patientjournaler förs på engelska.
TP
4
PT
Överenskommelse om gemensam nordisk arbetsmarknad för viss hälso- och sjukvårds-
personal och veterinärer (SÖ 1994:2).
Enligt samma punkt i föreskrifterna (punkt 2) kan Socialstyrelsen i samband med att styrelsen förordnar någon med utomnordisk utbildning att utöva yrke som barnmorska, läkare eller tandläkare medge att denne får föra patientjournal på ett annat språk än svenska i den utsträckning och på det språk som anges i förordnandet. Socialstyrelsen har upplyst att denna möjlighet aldrig har använts.
Enligt föreskrifterna får medicinska fackuttryck på främmande språk användas i stället för svenska uttryck i den mån det gagnar patientsäkerheten och kravet på noggrannhet i journalföringen.
I Socialstyrelsens föreskrifter och allmänna råd anges vidare att, om det med hänsyn till EES-avtalet blir nödvändigt att tillåta att journal förs även på annat språk än de nämnda, kommer Socialstyrelsen att från fall till fall meddela särskild dispens. Någon sådan dispens har aldrig meddelats enligt uppgift från Socialstyrelsen.
Socialstyrelsen har vidare föreskrivit (punkt 6) att om en patient inte behärskar svenska får i en patientjournal, om så behövs för att patienten skall kunna förstå en journalhandling, utöver uppgifter på svenska intas motsvarande uppgifter på annat lämpligt språk. I punkt 8 föreskrivs vidare att en journal som förs på annat språk än svenska skall om möjligt innehålla en översättning till svenska av anamnes och epikris.
I Socialstyrelsens tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) föreslås ingen ändring beträffande språket i journalen. Socialstyrelsen anför i denna del att det under utredningen inte framkommit något skäl att ändra den nuvarande bestämmelsen. I den mån EU-medlemskapet eller andra orsaker föranleder skäl att tillåta annat språk än svenska utöver vad som redan nu gäller, anser Socialstyrelsen sig ha möjligheter att ändra sina egna föreskrifter genom lämpliga tillägg.
Vi har vid kontakt med Socialstyrelsen fått upplysningen att det varken från hälso- och sjukvårdspersonal eller från patienter framförts kritik mot att journaler förts på annat språk än svenska eller anförts att det skulle ha inneburit några problem. Det har inte heller förekommit kritik mot eller problem med kravet på svenska som journalspråk. Vi har inte heller fått indikationer från andra aktörer inom hälso- och sjukvården, t.ex. vid kontakter med företrädare för patient- och anhörigorganisationer eller yrkesförbund, på att det skulle finnas kritik mot eller problem med nuvarande ordning.
I våra direktiv anges att den fria rörligheten för personer inom EU öppnar för möjligheter till gränsöverskridande vård och att det mot bakgrund härav finns behov av att utreda om bestämmelserna
om språk vid journalföring tillgodoser patienternas rätt att kunna ta del av sin journal.
Det finns ingen exakt definition av begreppet gränsöverskridande vård. Inom Socialdepartementet tillsattes i september 2002 en projektgrupp med uppgift att analysera innebörden och effekterna av gränsöverskridande vård inom EU. Rapporten Gränsöverskridande vård inom EU – Kartläggning och förslag till handlingslinjer överlämnades i december 2003. Enligt denna rapport är den gränsöverskridande vården till viss del en konsekvens av den ökade faktiska rörligheten av personer, ökat resande, förbättrade kommunikationer och ökad gränspendling, men även en effekt av de förmåner som följer av EG:s regler för samordning av systemen för social trygghet. För den enskilde kan det handla om att söka akutvård i samband med tillfällig vistelse utomlands eller om s.k. planerad vård, dvs. vård som inte är akut. För vårdgivaren kan den gränsöverskridande vården handla om att samarbeta gränsöverskridande och fördela specialistkompetens. Att hälso- och sjukvårdspersonal flyttar mellan länderna är ytterligare en dimension av den gränsöverskridande vården.
I rapporten konstaterades att den gränsöverskridande vården vid tiden för gruppens arbete var liten, men att exakt kunskap om patientströmmarna inte fanns eftersom det saknades statistiskt underlag.
För att underlätta den fria rörligheten för bl.a. hälso- och sjukvårdspersonal inom EU har utfärdats olika direktiv om ömsesidigt erkännande av examens-, utbildnings- och andra behörighetsbevis.
TPF
5
FPT
Dessa s.k. sektorsdirektiv avser läkare, tandläkare, sjuksköterskor inom allmän hälso- och sjukvård, farmaceuter och barnmorskor. Enligt direktiven skall ett medlemsland erkänna de övriga ländernas kompetensbevis genom att ge dem samma ställning inom sitt territorium vad gäller rätten att utöva yrkesverksamhet. Direktiven anger minimikrav som skall ställas på utbildningen för de yrken som avses och innehåller en lista över de examensbevis som motsvarar dessa minimikrav för varje medlemsland. Direktiven innebär att t.ex. en läkare eller sjuksköterska har rätt att få sin respektive examen godkänd i ett annat EU-land. De yrkesgrupper som berörs av direktiven får direkt tillträde till hela den gemensamma arbetsmarknaden och kan söka arbete varhelst de vill inom EU.
Den 7 september 2005 antog Europaparlamentet och Europeiska unionens råd direktiv 2005/36/EG om erkännande av yrkeskvalifikationer. Syftet med direktivet är bl.a. att konsolidera flera direktiv
TP
5
PT
Se t.ex. direktiv 93/16/EEG om underlättande av läkares fria rörlighet och ömsesidigt er-
kännande av deras utbildnings-, examens- och andra behörighetsbevis.
om erkännande av yrkeskvalifikationer, däribland de tidigare nämnda sektorsdirektiven, och skapa en mer enhetlig ordning för erkännande av kvalifikationer. Direktivet ersätter alltså sektorsdirektiven och skall vara införlivat i nationell rätt senast den 20 oktober 2007. I artikel 53 anges att personer som får sina yrkeskvalifikationer erkända skall ha nödvändiga språkkunskaper för att utöva yrkesverksamheten i den mottagande medlemsstaten.
Vår bedömning
Patientjournallagens bestämmelse om språket vid journalföring utgör en av flera bestämmelser som anger vilka krav som lagen uppställer när det gäller patientjournalens innehåll, utformning och hantering. En bestämmelse om på vilket språk en journal som huvudregel bör föras är viktig dels från patientsäkerhetssynpunkt, dels med hänsyn till strävan efter enhetlighet i journalföringen. Vi anser därför att det även framöver behövs en bestämmelse om på vilket språk patientjournaler som huvudregel bör föras
En patientjournal utgör i första hand ett arbetsverktyg för hälso- och sjukvårdspersonalen. Den skall vara ett stöd för den eller de personer som ansvarar för patientens vård och utgöra ett underlag för bedömningen av åtgärder som kan behöva vidtas av någon som inte tidigare har träffat patienten. Från patientsäkerhetssynpunkt är det därför av vikt att journalspråket som huvudregel är svenska, eftersom svenska är arbetsspråket inom hälso- och sjukvården. Enligt vår uppfattning blir detta än viktigare om man skapar omfattande journalsystem hos en och samma vårdgivare eller om vårdgivare ges tillgång till varandras journaluppgifter, eftersom journalanteckningarna då kan komma att behöva läsas och förstås av fler personer inom hälso- och sjukvården än i dag. Risken för att tidigare journalanteckningar missförstås vid en senare vårdkontakt kan ju komma att öka om dessa anteckningar förts på andra språk än svenska. Enligt vår bedömning skulle det alltså inte gagna patientsäkerheten att ändra bestämmelsen om att journalspråket som huvudregel skall vara svenska.
Patientjournalen är också en viktig informationskälla för patienten om erhållen vård. Patienter blir alltmer delaktiga i sin vård och deras intresse av att ta del av sina patientjournaler ökar. Det är därför av stor vikt att de så långt möjligt kan förstå vad som finns antecknat i journalerna. Patienternas möjlighet att ta del av sina journaler var
också, såsom tidigare nämnts, ett av skälen till att bestämmelsen om språk vid journalföring infördes i patientjournallagen. Patienternas ökade delaktighet och intresse snarare understryker att journalspråket även fortsättningsvis som huvudregel bör vara svenska.
Såvitt framkommit finns det inget behov av att utvidga möjligheterna att föra journal på andra språk än svenska med anledning av att utländsk hälso- och sjukvårdspersonal tar anställning i Sverige. När det gäller hälso- och sjukvårdspersonal med yrkeskvalifikationer från andra EU-länder uppställer dessutom det tidigare nämnda EGdirektivet om erkännande av yrkeskvalifikationer (vilket skall vara införlivat i nationell rätt senast den 20 oktober 2007) som villkor för utövande av yrket att personer som får sina yrkeskvalifikationer erkända här har nödvändiga språkkunskaper för att utöva sin yrkesverksamhet. Detta måste enligt vår uppfattning innebära att de skall kunna föra journaler på svenska.
Vi kan inte heller se att det med anledning av att t.ex. EU-medborgare söker vård i Sverige finns behov av att utvidga möjligheterna att föra journal på andra språk än svenska. Patienter som inte behärskar svenska språket och som vill ta del av sina journaler får redan i dag journaluppgifterna översatta. Dessutom kan ju vårdpersonal som är verksam här i Sverige knappast förväntas föra journal på annat språk än svenska enbart av den anledningen att patienten inte behärskar svenska språket. De tidigare nämnda patientsäkerhetsskälen talar också emot detta.
Vi har i tidigare avsnitt framhållit att journalföringen framöver bör bli mer enhetlig. Detta skulle motverkas om det blir möjligt att i större utsträckning än i dag föra journal på andra språk än svenska. Dessutom kan antas att möjligheterna till uppföljning skulle försämras.
Det har, såvitt framkommit, inte förekommit några problem för hälso- och sjukvårdspersonalen att journaler i undantagsfall förs på danska, norska eller engelska. Vi ser därför inte någon anledning att inskränka Socialstyrelsens möjligheter att meddela föreskrifter om undantag från kravet på att journalspråket skall vara svenska. I fråga om danska och norska synes detta inte heller vara möjligt med tanke på den tidigare nämnda nordiska överenskommelsen.
Sammanfattningsvis gör vi bedömningen att de journalhandlingar som upprättas inom hälso- och sjukvården även fortsättningsvis som huvudregel bör vara skrivna på svenska språket. Patientjournallagens bestämmelse om språk vid journalföring kan alltså föras över oförändrad till patientdatalagen. Utvecklingen av den gränsöverskridande
vården bör dock följas. Om det visar sig att problem uppstår på grund av kravet på att journalhandlingar som huvudregel skall vara skrivna på svenska språket, får frågan på nytt övervägas.
10.4.6. Rättelse av journaluppgifter
Vår bedömning: Patientjournallagens bestämmelse om rättelse av journaluppgifter behöver inte ändras.
Av 6 § patientjournallagen följer att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än efter särskilt förordnande av Socialstyrelsen enligt 17 § patientjournallagen, se nedan. Av samma bestämmelse följer att det vid rättelse av en felaktighet skall anges när rättelsen har skett och vem som har gjort den.
Föreskriften innebär att samma krav på hur rättelser skall utföras gäller för både den enskilda och den allmänna hälso- och sjukvården. Kravet innebär bl.a. att en rättelse i en journalhandling alltid måste göras så, att den ursprungliga texten klart framgår också efter rättelsen. Det är således inte tillåtet att utplåna den ursprungliga texten. Kravet på särskild anteckning inträder först när uppgiften har fått status av allmän handling (prop. 1984/85:189 s. 24).
I förarbetena anges att bestämmelsen skall tolkas mot bakgrund av tryckfrihetsförordningen och den rättspraxis som utvecklats i anslutning till denna. Frågan när en handling skall anses upprättad aktualiseras således även i den privata hälso- och sjukvården. För de vanliga korrigeringarna av skrivfel, som upptäcks vid genomläsning av texten, anses därvid gälla att sådana rättelser kan utföras fritt under förutsättning att rättelsen har ett faktiskt och tidsmässigt samband med själva utskriften (a. prop. s. 44).
Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen gäller också vid rättelse av uppgifter i ett vårdregister som grundar sig på dokumentationsskyldighet enligt patientjournallagen.
De nämnda bestämmelserna anger hur rättelser skall utföras. I fråga om när rättelser måste göras finns inga särskilda föreskrifter beträffande manuellt förda patientjournaler. Felaktigheter i journalhandlingar måste dock givetvis rättas när de upptäcks. Från patientsäkerhetssynpunkt är det ju av vikt att uppgifter i journalhandlingar är riktiga. När det gäller patientjournaler som omfattas av personuppgiftslagen anges i 28 § nämnda lag att den personuppgiftsansvarige
är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. För elektroniskt förda journaler följer av 13 § vårdregisterlagen att denna skyldighet även gäller beträffande personuppgifter som behandlats i strid med nämnda lag. Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i patientjournallagen. Utöver skyldigheten att vidta rättelse på den registrerades begäran måste den personuppgiftsansvarige enligt bestämmelserna i 9 § första stycket personuppgiftslagen självmant vara aktiv för att se till att behandlade uppgifter är korrekta samt att felaktigheter rättas. (Se vidare avsnitt 18.2.1.)
Socialstyrelsen gör i sin skrivelse Patientjournallagen – En översyn med förslag till författningsändringar (se avsnitt 10.2.1) bedömningen att det inte finns någon anledning att göra några ändringar i bestämmelsen om rättelse av journaluppgifter. I skrivelsen framhålls dock att det bör klarläggas dels i vilka fall skrivfel kan rättas utan att uppgiften i journalen skall anses upprättad samt hur det kan ske, dels när låsning av uppgifter i datorjournaler senast bör ske. Socialstyrelsen anser sig ha möjligheter att ta fram föreskrifter och allmänna råd i dessa frågor.
Vår bedömning
Det ingår inte uttryckligen i vårt utredningsuppdrag att se över ifrågavarande bestämmelser i patientjournallagen och det har inte heller framkommit något behov av att göra några ändringar av dessa. Vår uppfattning är således att patientjournallagens bestämmelser om rättelse av journaluppgifter kan föras över oförändrade till patientdatalagen.
10.4.7. Bevarande av journalhandling
Vår bedömning: Patientjournallagens bestämmelser om bevarande av journalhandling bör inte ändras.
I 8 § första stycket patientjournallagen föreskrivs att en journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Bestämmelsen gäller såväl allmän som enskild hälso- och sjukvård.
Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Så har också skett i förordningen (1986:203) om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjukvården. Den förlängda tiden gäller journalhandlingar rörande patient vars sak prövas eller har prövats enligt vissa rättsliga förfaranden (t.ex. enligt patientskadelagen [1996:799] eller läkemedelsförsäkringen), journalhandlingar inom tandvården som kan ha betydelse för rättsodontologisk identifiering samt journalhandlingar rörande patienter födda vissa datum varje månad och som inte kan uteslutas ha betydelse för forskningsändamål.
Längre bevarandetider kan också vara föreskrivna i andra lagar. I t.ex. 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m. föreskrivs att uppgifter om spermagivare vid insemination och givare av ägg eller spermier vid befruktning utanför kroppen skall antecknas i en särskild journal, som skall bevaras i minst 70 år.
Som framgår av avsnitt 10.4.9 kan Socialstyrelsen besluta att patientjournaler inom enskild hälso- och sjukvård skall tas om hand. I fråga om bevarande av sådana journalhandlingar finns det särskilda föreskrifter i 12 § andra stycket patientjournallagen. Där föreskrivs att omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.
I 8 § andra stycket patientjournallagen anges att för journalhandlingar som utgör allmän handling gäller, med de undantag som följer av första stycket, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.
I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål.
När det gäller patientjournaler har Riksarkivet utfärdat allmänna råd om bevarande och gallring av patientjournaler hos landsting och kommuner (RA-FS 2003:4). I dessa rekommenderas landsting och kommuner att tills vidare i avvaktan på en ny patientjournallag inte gallra patientjournaler.
Av bl.a. Socialstyrelsens skrivelse om patientjournallagen (se avsnitt 10.2.1) har framkommit att det även före Riksarkivets allmänna råd från år 2003 endast förekom en relativt begränsad gallring ur patientjournaler hos landsting och kommuner (s. 46). Vi har inte gjort någon egen kartläggning av huruvida gallring har skett i elektroniska patientjournaler inom den allmänna hälso- och sjukvården. I samband med studiebesök vid vårdinrättningar har det emellertid vid några tillfällen upplysts att gallring över huvud taget inte skett i ifrågavarande journalsystem, som därför inte sällan omfattar även avlidna patienter. Som ovan framgått finns inte heller någon skyldighet att gallra i patientjournaler inom den allmänna hälso- och sjukvården.
Av Socialstyrelsens skrivelse framgår att journalhandlingar inom den enskilda hälso- och sjukvården däremot ofta gallras efter den föreskrivna bevarandetiden. Detta anges bero på att vårdgivare inom den enskilda hälso- och sjukvården inte har samma möjligheter som landsting och kommuner att arkivera journalhandlingar.
Socialstyrelsen föreslår i sin skrivelse en ny huvudregel om en minsta bevarandetid på tio år. Skälen till förslaget är dels att bevarandetiden därigenom blir enhetlig, dels att den treåriga bevarandetiden anses vara alltför kort. Vidare föreslås att en privat vårdgivare skall kunna förvara journalhandlingar som är äldre än tio år hos ett landsting, om landstinget medger det. Skälet till ett sådant omhändertagande skulle enligt skrivelsen kunna vara att den privata vårdgivaren inte har resurser att ta hand om journalerna och det handlar om material som kan vara av intresse för forskningen.
Promemorian Genomförande av EG-direktivet om mänskliga vävnader och celler (Ds 2005:40) innehåller förslag som syftar till att i svensk rätt genomföra Europaparlamentets och rådets direktiv 2004/23/EG om fastställande av kvalitets- och säkerhetsnormer för donation, tillvaratagande, kontroll, bearbetning, konservering, förvaring och distribution av mänskliga vävnader och celler. Direktivet innehåller bestämmelser om bl.a. spårbarhet av mänskliga vävnader och celler. Bland annat finns krav på att uppgifter som är nödvändiga för att garantera fullständig spårbarhet skall bevaras i minst 30 år efter kliniskt bruk. För att uppfylla direktivets krav i denna del föreslås i promemorian att det i 8 § första stycket patientjournallagen görs ett tillägg om att regeringen eller den myndighet regeringen bestämmer får föreskriva att vissa slags journalhandlingar skall bevaras minst 30 år. Förslagen har remissbehandlats och bereds för närvarande inom Regeringskansliet.
Vår bedömning
Det kan finnas goda skäl att, såsom Socialstyrelsen föreslagit, införa en ny huvudregel om en minsta bevarandetid på tio år. Ett sådant förslag skulle, utifrån beskrivningen i Socialstyrelsens skrivelse att döma, framför allt träffa vårdgivare inom den enskilda hälso- och sjukvården. Inom den allmänna hälso- och sjukvården bevaras ju redan journalhandlingar regelmässigt längre tid än den föreskrivna. Enligt vår uppfattning bör en förlängning av den minsta bevarandetiden föregås av en undersökning av vilka möjligheter vårdgivare inom den enskilda hälso- och sjukvården har att bevara journalhandlingar längre tid än vad som krävs i dag. Det förhållandet att journaler i allt större utsträckning förs elektroniskt innebär ju inte nödvändigtvis att det blir lättare att bevara journalhandlingarna. Tvärtom kan det innebära tekniska svårigheter att bevara informationen läsbar under flera år. Vilka konsekvenser en förlängd bevarandetid skulle få för vårdgivare inom enskild hälso- och sjukvård bör också utredas. Detta låter sig dock inte göra inom ramen för vårt uppdrag.
Det är inte heller möjligt att inom ramen för vårt uppdrag utreda om det finns behov av att alla slags journalhandlingar bevaras i minst tio år. Ett förslag om en minsta bevarandetid om tio år skulle ju innebära att även sådana journaler som förs av t.ex. optiker skulle behöva bevaras under denna tid.
Vår uppfattning är således att patientjournallagens bestämmelser om bevarande av journalhandling bör föras över oförändrade till patientdatalagen.
Vi vill framhålla att regeringen även fortsättningsvis kommer att kunna föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Regeringen har alltså möjlighet att föreskriva att t.ex. journalhandlingar som innehåller anteckningar förda av läkare skall bevaras minst tio år. Vi återkommer i avsnitt 11.7.4 till ett fall då regeringens bemyndigande skulle kunna utnyttjas.
10.4.8. Förstörande av journalen
Vår bedömning: Patientjournallagens bestämmelse om journalförstöring behöver inte ändras. Även patientjournallagens bestämmelse om att det skall antecknas i journalen när en journalhandling lämnas ut bör kunna föras över oförändrad till patientdatalagen.
Enligt 17 § patientjournallagen får Socialstyrelsen, efter ansökan av en patient eller annan person som omnämns i en patientjournal, under vissa förutsättningar förordna att en journal helt eller delvis skall förstöras. För detta krävs dels att den enskilde anför godtagbara skäl för ansökan, dels att journalen eller den del därav som skall förstöras uppenbarligen inte behövs för patientens vård och dels att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.
Kravet på godtagbara skäl för ansökan innebär enligt förarbetena att en patient inte har rätt att utan vidare få sin journal eller del av den förstörd. Det krävs att anteckningarna är sådana att det rimligen kan medföra en psykisk belastning eller liknande för patienten om de bevaras (prop. 1984/85:189 s. 50).
Genom inskränkningen att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen ges enligt förarbetena möjlighet att beakta olika samhällsintressen som avser journalmaterialet – t.ex. insynen, forskningen, ekonomin i vården. Det överlämnas till Socialstyrelsen att ange i vilken utsträckning samhället har behov av att journalmaterialet bevaras (a. prop. s. 50).
Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen också gäller vid förstöring av uppgifter i ett vårdregister som grundar sig på dokumentationsskyldighet enligt patientjournallagen.
Förordnandet om förstöring kan avse hela journalen eller en del därav. Det sistnämnda innebär att t.ex. bara ett ord eller en mening tas bort ur journalen. Huruvida det är tillräckligt att enbart personidentiteten tas bort anförde fördragande statsrådet följande (a. prop. s. 30).
Registrering i landstingens patientdatabaser grundas på uppgifter som hämtas från journalerna. När socialstyrelsen beslutar om förstöring av en viss journal skall informationen i databasen också utplånas. Detta brukar uttryckligen anges i besluten. Den frågan har väckts, om det inte kunde räcka med att personidentiteten tas bort och att informationen i övrigt, dvs. främst diagnos och vårdtid, bevaras utan att den kan återföras till den enskilde individen. Avidentifiering skulle ge den fördelen att databasens statistikvärde består. I t.ex. planeringssammanhang vill man ha en komplett bild av sjukvårdskonsumtionen, men uppgifterna behöver nödvändigtvis inte vara personrelaterade. Förstöringen avser i första hand att tillvarata patientens integritetsintressen. Registreringen i patientdatabaserna är mycket summarisk. Jag bedömer att syftet med bestämmelsen måste anses uppnått om de kritiserade uppgifterna förstörs och om kopplingen mellan journalen och andra informationskällor upphävs. Enbart utplåning av personuppgifterna bör således kunna
accepteras i just detta fall. Däremot är samma förfarande inte tillräckligt när det gäller själva journalen – antingen denna förs konventionellt eller med ADB-teknik – eftersom journalen innehåller en avsevärt större mängd uppgifter, som när de sammanställs kan göra att identiteten ändå går att härleda.
Bestämmelsen om journalförstöring innebär att samtliga journalhandlingar som innehåller uppgifter som enligt beslut skall förstöras omfattas av beslutet. Förstöring skall således ske av både originalhandlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen, måste följaktligen handlingen begäras åter (a. prop. s. 49). I 7 § andra stycket patientjournallagen föreskrivs att om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det antecknas i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Dessa anteckningar syftar bl.a. till att underlätta arbetet med att spåra journalhandlingar.
I 17 § patientjournallagen föreskrivs vidare att innan ansökan slutligt prövas, skall den som ansvarar för patientjournalen beredas tillfälle att yttra sig. Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att journalen förs (a. prop. s. 50). I de fall det finns journalhandlingar hos någon annan än den som ansvarar för journalen kan även denne behöva höras under ärendets handläggning. Enligt förarbetena är det av vikt att bl.a. domstolarnas särskilda behov av att bevara visst bevismaterial kan beaktas (a. prop. s. 30).
Om Socialstyrelsen har avslagit en ansökan om förstöring av en patientjournal, får beslutet överklagas hos allmän förvaltningsdomstol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.
Socialstyrelsen har upplyst att det under år 2004 inkom 394 ärenden om journalförstöring. Som skäl för ansökan anges vanligtvis att uppgifterna är felaktiga, kränkande, missvisande eller onödiga och att sökanden därför befarar att få felaktig vård. Sökandena är även rädda för att journaluppgifterna sprids. Det börjar också bli vanligt att ansökningarna motiveras med att journalanteckningarna utgör hinder för att teckna försäkring, inte minst för små barn, eller att få försäkringsersättningar av olika slag via Försäkringskassan eller försäkringsbolag. Andra skäl som tillkommit på senare år är hänvisning
till ömtåliga uppgifter i samband med könsbyte, artificiell befruktning, abort m.m. Merparten av ärendena rör vårdområdena psykiatri, primärvård och vissa delar av akutsjukvården. År 2004 avgjordes 370 ärenden om journalförstöring, varav 235 beviljades helt eller delvis.
I den tidigare nämnda skrivelsen om patientjournallagen (se avsnitt 10.2.1) påtalar Socialstyrelsen att det saknas möjlighet för styrelsen att få ett beslut om förstörande av en kopia som förvaras hos annan myndighet, domstol, enskilt organ eller enskild person verkställt. Vidare påtalas att det är i högsta grad osäkert vad det har för rättsliga konsekvenser att en eventuell kopia av journalen inte garanterat går att förstöra. Socialstyrelsen föreslår att det i bestämmelsen om journalförstöring införs ett nytt stycke, vari anges att en patientjournal får förstöras även om kopior av journalen kommer att bevaras hos någon annan än vårdgivaren. Syftet med tillägget skulle vara att tydliggöra att det inte kan anses föreligga allmänna skäl att vägra förstöring av en journal eller del av en journal av den anledningen att en kopia finns hos någon annan än den vårdgivare som ansvarar för journalhandlingen.
Av skrivelsen framgår också att Socialstyrelsen i en skrivelse till Socialdepartementet år 1999 framfört förslag om att föra över handläggning och beslut i ärenden om journalförstöring till den landstingsnämnd som ansvarar för den verksamhet där journalen förts. Ansökan beträffande journal i enskild hälso- och sjukvård föreslogs bli prövad av den landstingsnämnd som har ansvar för hälso- och sjukvården inom det område där den privata vårdgivaren bedriver sin verksamhet. Regeringen fann dock inte att tillräckliga skäl för ändring av reglerna om förstörande av journal eller journaluppgifter framkommit. Socialstyrelsen har också till utredningen framfört att patientens rätt till journalförstöring inte bör vara en fråga för styrelsen.
Vår bedömning
Inledningsvis kan konstateras att frågan huruvida ärenden om journalförstöring skall handläggas och beslutas av Socialstyrelsen eller av någon annan myndighet inte kan utredas inom ramen för vårt uppdrag.
Enbart det förhållandet att en kopia av den journalhandling som ansökan om journalförstöring avser finns hos någon annan än den
vårdgivare som ansvarar för journalhandlingen kan enligt vår uppfattning inte utgöra skäl att avslå ansökan. Ett beslut om att en journalhandling skall förstöras avser ju tvärtom även eventuella kopior eller avskrifter, oavsett om dessa finns inom eller utanför hälso- och sjukvården.
Att ett beslut om journalförstöring eventuellt inte kommer att verkställas beträffande en kopia eller avskrift som förvaras hos någon annan än den vårdgivare som ansvarar för journalhandlingen, kan enligt vår uppfattning inte anses medföra att en ansökan skall avslås med motiveringen att det från allmän synpunkt inte uppenbarligen saknas skäl att bevara journalen. Som framgått tidigare avser denna begränsning i stället samhällets eventuella behov av att journalmaterialet bevaras.
Vi gör alltså bedömningen att det inte finns något behov att införa det av Socialstyrelsen föreslagna tillägget i bestämmelsen om journalförstöring.
Vi vill särskilt framhålla att möjligheten att få en journal förstörd är av stor betydelse för skyddet av patienternas integritet (se prop. 1984/85:189 s. 29). Denna möjlighet får än större betydelse om man skapar stora sjukhusgemensamma journaler eller om flera vårdgivare deltar i sammanhållen journalföring, eftersom journalanteckningarna då kan komma att läsas av fler personer inom hälso- och sjukvården än i dag.
Det har till utredningen kommit signaler om att det finns vissa problem vad gäller förstöring av uppgifter i elektroniska journaler. Även efter ett beslut om förstöring finns uppgifterna ibland kvar i ett back up system. Vi vill här framhålla att det redan i dag följer av Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen att journalsystemen skall vara så utformade att det finns möjlighet att förstöra hela eller delar av patientjournalen. Enligt vår uppfattning är det också av vikt att det finns rutiner för att säkerställa att förstöringen även omfattar eventuella uppgifter i back up kopior.
Sammanfattningsvis gör vi bedömningen att patientjournallagens bestämmelse om journalförstöring kan föras över oförändrad till patientdatalagen. Även patientjournallagens bestämmelse om att det skall antecknas i journalen när en journalhandling lämnas ut bör kunna föras över oförändrad till patientdatalagen. I avsnitt 11 och 13 kommer vi dock att behandla frågan om undantag från den sist nämnda bestämmelsen. Undantagen avser de fall att utlämnande sker genom direktåtkomst till den elektroniskt förda journalen.
10.4.9. Omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården samt återlämnande av omhändertagna journaler
Vår bedömning: Patientjournallagens bestämmelser om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler och om utlämnande av uppgifter ur omhändertagna journalhandlingar behöver inte ändras.
I 11 § patientjournallagen regleras Socialstyrelsens möjligheter att besluta att patientjournaler inom enskild hälso- och sjukvård skall tas om hand.
Enligt första stycket får beslut om omhändertagande meddelas om det på sannolika skäl kan antas att journalerna inte kommer att handhas enligt föreskrifterna i patientjournallagen eller enligt föreskrifter som meddelats med stöd av lagen. Därvid avses främst bestämmelserna om hantering och förvaring samt minsta tid för bevarande av journalhandlingar.
En situation då ett omhändertagande enligt första stycket kan bli aktuellt är enligt förarbetena när en privat vårdgivare avlider. Tas inte verksamheten över av någon annan vårdgivare kan det ofta antas att det kommer att brista i det framtida handhavandet av patientjournalerna. En annan situation då ett omhändertagande kan bli aktuellt är när en legitimerad vårdgivare får sin legitimation återkallad (prop. 1991/92:104 s. 22).
En fråga om omhändertagande enligt första stycket kan tas upp av Socialstyrelsen när anledning finns därtill och någon formell anmälan eller ansökan behövs inte.
Enligt andra stycket kan omhändertagande också ske på ansökan av den som ansvarar för hanteringen av journalerna om det finns ett påtagligt behov av att journalerna tas om hand. Med den som ansvarar för patientjournalen avses enligt förarbetena den som ytterst ansvarar för hanteringen av handlingarna i journalen vilket inte alltid är densamma som den som enligt 9 § är ansvarig för uppgifterna i patientjournalen. Är den enskilde yrkesutövaren anställd ligger ansvaret för att föreskrifterna om hantering och bevarande av journalhandlingar följs i stället på arbetsgivaren, den som driver verksamheten (prop. 1991/92:104 s. 11 och 23).
Ett exempel på när det kan finnas ett påtagligt behov av att journalerna tas om hand är när en vårdgivare inom enskild hälso- och
sjukvård avslutar eller avbryter sin verksamhet och flyttar utomlands. För att handlingarna skall vara åtkomliga för patienter och andra bör då en förvaring ordnas här i landet (a. prop. s. 23).
Tredje stycket reglerar när en omhändertagen patientjournal skall återlämnas. En första förutsättning för detta är att ett återlämnande alls är möjligt, dvs. att journalhandlingarna inte förstörts efter utgången av minsta tiden för bevarande. Vidare förutsätts för beslut om återlämnande att det inte finns skäl för omhändertagande enligt första stycket.
Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.
Enligt 12 § patientjournallagen skall omhändertagna patientjournaler förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommuner som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.
I 13 § patientjournallagen anges att ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet. Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.
Socialstyrelsens beslut i fråga om omhändertagande eller återlämnande av patientjournaler får enligt 14 § patientjournallagen överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
Patientjournallagen innehåller också en särskild bestämmelse beträffande utlämnande av uppgifter ur omhändertagna journalhandlingar. Enligt 15 § andra stycket har en myndighet som har hand om en patientjournal upprättad inom enskild hälso- och sjukvård, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.
I förarbetena till bestämmelsen (a. prop. s. 16 f. och 25 f.) utgick föredragande statsrådet från att en journalhandling inom enskild hälso- och sjukvård som omhändertagits efter beslut av Socialstyrelsen blir allmän handling när den kommer in till arkivmyndigheten. Det innebär att den i tryckfrihetsförordningen föreskrivna rätten att ta del av allmänna handlingar då kommer att gälla beträffande journalhandlingen. Av det skälet infördes en bestämmelse i sekretesslagen (nuvarande 7 kap. 1 c § tredje stycket) om sekretess för uppgift
om enskilds hälsotillstånd eller andra personliga förhållanden i verksamhet som avser omhändertagande av patientjournal. Eftersom omhändertagna patientjournaler kommer från den enskilda hälso- och sjukvården där det – till skillnad från patientjournaler inom allmän hälso- och sjukvård – saknas en allmän rätt för annan än patienten att ta del av uppgifterna i journalerna, begränsades möjligheterna att lämna ut uppgifter ur omhändertagna journaler utan patientens medgivande. Uppgift får, enligt den nämnda bestämmelsen i sekretesslagen, lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas. Enligt förarbetena innebär detta i princip att endast läkare, tandläkare eller andra vårdgivare inom allmän eller enskild hälso- och sjukvård som verkligen behöver uppgifterna för vård eller behandling skall ha rätt att ta del av dessa utan patientens medverkan. I övrigt måste patientens samtycke först inhämtas. Som exempel på situationer när ett utlämnande bör kunna ske utan inhämtande av samtycke från den enskilde nämns att uppgiften är av mycket stor eller t.o.m. avgörande betydelse för vård av den som uppgiften rör men att denne inte kan lämna sitt medgivande på grund av medvetslöshet eller annat.
Bestämmelsen i 15 § andra stycket patientjournallagen innebär en uppgiftsskyldighet för arkivmyndigheten och avser fall då den som varit ansvarig för journalhandlingarna före beslutet om omhändertagande varit skyldig att lämna ut i övrigt sekretessbelagda uppgifter i handlingarna. Sådan uppgiftsskyldighet föreligger, enligt förarbetena, exempelvis för uppgifter som kan behövas i ett tillsynsärende hos Socialstyrelsen och uppgifter som smittskyddsläkaren behöver för att kunna fullgöra sina uppgifter enligt smittskyddslagen m.m. Eftersom arkivpersonal m.fl. endast har i uppgift att förvara handlingarna och normalt inte har anledning att studera dessa, begränsades arkivmyndighetens skyldighet att lämna uppgift till att uppgiften begärts för särskilt fall. Det innebär, enligt förarbetena, att en begäran om utlämnande inte får utformas så att exempelvis vissa typer av uppgifter som kan finnas i omhändertagna handlingar alltid skall lämnas.
Med den som ansvarat för journalen avses i 15 § andra stycket patientjournallagen var och en som före överlämnandet haft ett ansvar för journalen. Det är inte knutet till den som hade ansvaret vid tidpunkten för överlämnandet. Att bl.a. en arkivmyndighet har samma skyldighet att lämna uppgifter som den tidigare journalansvarige innebär, enligt förarbetena, exempelvis att en uppgift i en journalhandling som tillhört en läkare inom enskild hälso- och sjukvård
och som omhändertagits enligt bestämmelserna i patientjournallagen skall lämnas ut av arkivpersonalen om läkaren hade varit skyldig att lämna uppgiften. Det är däremot inte tillräckligt att läkaren hade haft rätt att lämna ut uppgiften utan det krävs att han eller hon varit skyldig att göra det.
I Socialstyrelsens tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) föreslås ingen ändring av bestämmelserna om omhändertagande. Socialstyrelsen anger dock att den i allmänna råd kommer att förtydliga i vilka fall omhändertagande av journaler skall kunna ske på ansökan av de som är ansvarig för journalerna.
Vår bedömning
Det ingår inte uttryckligen i vårt utredningsuppdrag att se över ifrågavarande bestämmelser och det har inte heller framkommit något behov av att göra några ändringar av dessa. Bestämmelserna kan alltså föras över oförändrade till patientdatalagen.
10.4.10. Ytterligare föreskrifter
Vår bedömning: Det behövs inte några delegationsbestämmelser utöver de som i dag finns i patientjournallagen och den som föreslås i fråga om signeringskravet (se avsnitt 10.4.4).
I 18 § patientjournallagen anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från två av kraven på journalens innehåll. Ett av undantagen har redan berörts i det föregående, nämligen i fråga om journalspråket (se avsnitt 10.4.5). Det andra undantaget gäller kravet på att i journalen anteckna patientens identitet. I sistnämnt fall får undantag föreskrivas vid provtagning för viss sjukdom. Med stöd av denna delegationsbestämmelse har regeringen i förordningen (1986:198) om provtagning vid infektion av HIV medgett patienten rätt att på begäran få ta prov anonymt.
Vidare får enligt 19 § patientjournallagen regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om en journalhandlings innehåll, utformning och hantering. Regeringen har vidaredelegerat denna föreskriftsrätt till Socialstyrelsen genom förordningen (1985:796) med vissa bemyndiganden för
Socialstyrelsen att meddela föreskrifter m.m. Som redan angetts i det föregående har Socialstyrelsen meddelat flera sådana föreskrifter.
Slutligen finns en bestämmelse i 20 § patientjournallagen om att regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.
Vår bedömning
Vi har i avsnitt 10.4.4 föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela föreskrifter om undantag från signeringskravet.
Vi har tidigare redogjort för det viktiga arbete som pågår rörande framtagande av en enhetlig informationsstruktur samt normering av begrepp och termer. Vi utgår från att detta arbete kommer att utmynna i diverse föreskrifter. Dessa kommer enligt vår uppfattning att kunna meddelas med stöd av delegationsbestämmelsen i nuvarande 19 § patientjournallagen.
Det har vid vår översyn av bestämmelserna i patientjournallagen inte framkommit något behov av att, utöver förslaget i fråga om signeringskravet, ändra nuvarande delegationsbestämmelser.
Som framgått tidigare kommer vi i avsnitt 12 att behandla patientjournallagens bestämmelse om inre sekretess. Bestämmelsen föreskriver hur journalhandlingar skall hanteras och förvaras. Bemyndigandet i 19 § patientjournallagen för regeringen, eller den myndighet som regeringen bestämmer (Socialstyrelsen), att meddela föreskrifter om bl.a. journalhandlingars hantering omfattar således denna bestämmelse. Socialstyrelsen har också i sina föreskrifter och allmänna råd om patientjournallagen utfärdat föreskrifter i dessa frågor. Vi vill redan nu framhålla att det förhållandet att bestämmelsen om inre sekretess inte kommer att ingå i patientdatalagens kapitel om journalföring inte betyder att delegationen inskränks. Det kommer således alltjämt vara möjligt för Socialstyrelsen att utfärda föreskrifter om hur journalhandlingar skall hanteras och förvaras.
11. Närmare om sammanhållen journalföring
11.1. Inledning
I dag pågår inom flera landsting en utbyggnad av elektroniska journalsystem som är gemensamma för allt fler kliniker eller andra vårdenheter och som därigenom möjliggör en allt bredare tillgänglighet till journalinformation för landstingets hälso- och sjukvårdspersonal. Vårt förslag om att tillåta sammanhållen journalföring över vårdgivargränser innebär i princip en än mer vidgad tillgänglighet till journalinformation. Syftet härmed är givetvis i första hand att genom utnyttjande av modern informationsteknik öka patientnyttan i form av ökad patientsäkerhet; viktig medicinsk information om patienten skall kunna tas fram när den behövs i den individinriktade verksamheten. Kontinuiteten i hälso- och sjukvården får bättre förutsättningar med sådana möjligheter. Kontinuitet är inte minst viktig med tanke på att numera inte sällan allt fler vårdenheter och vårdgivare samverkar i vårdkedjor eller liknande, vilka sakligt sett och för den enskilde patienten ter sig som sammanhängande processer. Att en sådan kontinuitet finns, torde ha stor betydelse för allmänhetens förtroende för hälso- och sjukvården och den enskildes upplevelse av trygghet i vården. För vissa patientgrupper såsom de s.k. multisjuka patienterna är kontinuitet av särskilt stor betydelse.
Samtidigt är det viktigt att den breddade tillgängligheten inte sker till priset av ett äventyrat förtroende för att patienternas personliga integritet respekteras inom hälso- och sjukvården. Tveklöst är patientjournalföring något av den mer integritetskänsliga dokumentation som systematiskt förekommer i vårt samhälle. Informationen rör så gott som alltid privata förhållanden om hälsa och ibland även om sexualliv, sociala förhållanden m.m. Enligt det synsätt som personuppgiftslagen (1998:204) ger uttryck för, utgör uppgifter om hälsa och sexualliv per definition känsliga personuppgifter oavsett i vilka sammanhang de förekommer och är som sådana kringgärdade av särskilda restriktioner när det gäller behandling av personuppgifter
(13–20 §§personuppgiftslagen). Att förhållandena är rent privata syftar även på i vilket sammanhang dokumentationen sker. Hälso- och sjukvården handlar ju om en verksamhet som i allt väsentligt hör till enskilda människors helt privata sfär; vård och behandling för hälsoproblem och liknande medicinsk verksamhet där man som hjälpbehövande patient inte sällan befinner sig i en utsatt position. Sekretesslagen (1980:100) kan sägas ge uttryck härför genom att hälso- och sjukvårdssekretessen är knuten till den verksamhet vari uppgifter om hälsotillstånd och andra personliga förhållanden förekommer (7 kap. 1 c § sekretesslagen enligt lydelse fr.o.m. den 1 oktober 2006). Först nu (dvs. fr.o.m. den 1 oktober 2006) har en sekretessbestämmelse införts som ger särskilt integritetskänsliga uppgifter om enskilds hälsa och sexualliv ett generellt minimiskydd i hela den offentliga förvaltningen, dock ett skydd som inte är tillnärmelsevis lika starkt som hälso- och sjukvårdssekretessen.
Mot bakgrund av det sagda är det givetvis inte tillfredsställande från integritetssynpunkt att journalinformation genom ny tekniks införande utan restriktioner görs åtkomlig för en vidare krets vårdgivare – och därigenom en stor mängd hälso- och sjukvårdspersonal – i en för den enskilda patienten oöverblickbar vårdapparat. Vårt förslag om öppnade möjligheter till för flera vårdgivare sammanhållen journalföring måste därför förenas med ett regelverk som syftar till att ge ett tillfredsställande skydd för enskildas personliga integritet. I detta avsnitt behandlar vi dessa frågor i de inledande avsnitten 11.2– 11.3. Av central betydelse för integritetsskyddet är givetvis även bestämmelserna om sekretess och tystnadsplikt i sekretesslagen och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Sekretessfrågor behandlas i avsnitt 11.5.
En för flera vårdgivare sammanhållen journalföring reser en hel del frågeställningar angående hur en sådan ordning förhåller sig till grundläggande regler om allmänna handlingar i tryckfrihetsförordningen, sekretesslagen och arkivlagen (1990:782). Vi har frågat oss vilka konsekvenser lagstiftning av detta slag har för en för flera vårdgivare sammanhållen patientjournalföring och om dagens bestämmelser innebär problem av något slag som bör eller kan lösas inom ramen för vårt arbete. Även frågor om förhållandet till patientdatalagens och personuppgiftslagens regler om personuppgiftsansvar aktualiseras liksom förhållandet till den reglering av patientjournalföring som i dag finns i patientjournallagen men som vi föreslår skall överföras till patientdatalagen, se avsnitt 10. De nämnda frågorna behandlas i avsnitt 11.4–11.8.
11.2. Innebörden av sammanhållen journalföring
Vårt förslag: I patientdatalagen införs en reglering som innebär att vårdgivare kan – under vissa förutsättningar – få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Härigenom möjliggörs för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp system för sammanhållen journalföring i gemensamma databaser eller andra gränsöverskridande informationssystem för vårddokumentation.
Såsom vi redovisat i avsnitt 9.4.5 föreslår vi att patientdatalagen uttryckligen skall tillåta vårdgivare att på frivillig basis bygga upp gemensamma databaser eller andra gemensamma elektroniska informationssystem som gör det möjligt för dem att ge och få elektronisk tillgång till uppgifter om patienter som finns hos annan vårdgivare, dvs. uppgifter som finns i varandras journalhandlingar eller i annan vårddokumentation. Vi kallar detta för sammanhållen journalföring.
Vårt förslag innebär att det grundläggande systemet för patientjournalföring inte behöver förändras. Vad som menas med patientjournal och journalhandling har berörts i bl.a. avsnitt 10.4.4. Här kan tillfogas att patientjournalen närmast är en sammanhållande term för den samling av sinsemellan fristående journalhandlingar som har det gemensamt att de i vidare mening berör vården av en patient (se t.ex. prop. 1994/85:189: s. 15). För själva begreppet patientjournal innebär det inte någon avgörande skillnad om journalhandlingar samlas från flera vårdgivare eller inte. En patientjournal kan med andra ord bestå av journalhandlingar från en enda eller från flera vårdgivare. Vi ser alltså inte anledning att införa en helt ny juridisk begreppsfigur för det senare fallet.
Fortfarande är emellertid ansvaret för själva journalföringen i första hand knutet till den journalföringspliktiga yrkesutövaren. Varje elektronisk journalhandling kommer med vårt förslag även i fortsättningen att vara knuten till en viss vårdgivare som ansvarar för handlingar som upprättas eller inkommer i den egna verksamheten.
Vad vårt förslag handlar om är alltså en reglering som tillåter olika slags system för att göra vårddokumentation åtkomlig över vårdgivargränser genom den elektroniska utlämnandeformen direktåtkomst. För en redovisning av vad vi menar med direktåtkomst hänvisas till avsnitt 8.7. Här skall kort och förenklat bara anges att direktåtkomst innebär att uppgifter lämnas ut till en extern mottagare genom att
denne får en möjlighet att på eget initiativ och elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Vi har i avsnitt 8.7 även föreslagit att direktåtkomst bara skall vara tillåten i den utsträckning som medges i lag eller förordning. Vi föreslår därför att det i patientdatalagen tas in en bestämmelse som tillåter direktåtkomst för sammanhållen journalföring. Vidare föreslår vi en uttrycklig bestämmelse som anger vad vi menar med sammanhållen journalföring, nämligen en gemensam databas eller ett annat elektroniskt system, som gör det möjligt för vårdgivare att ge och få direktåtkomst till personuppgifter hos en eller flera andra vårdgivare.
Enligt vårt förslag skall sammanhållen journalföring få omfatta inte bara journalhandlingar utan även annan vårddokumentation (se om vårddokumentation i avsnitt 8.2.3). Av detta framgår bl.a. att det i ett system för sammanhållen journalföring inte finns något hinder mot att vårdgivarna upprättar gemensamma patientöversikter med t.ex. sammanställningar av viss basinformation, sökregister m.m.
Hur systemen kommer att byggas upp får vårdgivarna själva bestämma. Den reglering av förutsättningar för direktåtkomsten som vi föreslår i det följande, kommer dock att innebära vissa krav på systemen. Med det menar vi att systemen tekniskt och organisatoriskt måste utformas och anpassas så att dessa krav kan uppfyllas. Detsamma gäller även i fråga om direkta eller indirekta krav i annan reglering. Informationssäkerheten måste – för att ta något exempel – anpassas inte bara till uttryckliga bestämmelser i patientdatalagen eller personuppgiftslagen utan även till sekretesslagen och arkivlagen.
Det kan anmärkas att förslagen i det följande – om förutsättningar för sammanhållen journalföring – inte innebär några inskränkningar över huvud taget i förhållande till de möjligheter som i dag finns till överföring, elektroniskt eller manuellt, av journalhandlingar eller andra patientuppgifter mellan vårdgivare. De krav som uppställs för den sammanhållna journalföringen är alltså helt knutna till att utlämnandet sker just genom direktåtkomst. För informationsutbyte på andra sätt kommer i princip samma regler att gälla som i dag. I avsnitt 14 kommer vi dock att föreslå vissa ytterligare ändringar som underlättar informationsutbytet i det individinriktade arbetet.
11.3. Patientens inflytande m.m. vid sammanhållen journalföring
Vårt förslag: Patienten får en rätt att – efter att ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Sådana uppgifter skall spärras. Ett system för sammanhållen journalföring får innehålla information om att det finns spärrade uppgifter.
För att en vårdgivare skall få bereda sig tillgång till ospärrade uppgifter krävs att 1) uppgifterna rör en patient som vårdgivaren har en aktuell
patientrelation med och uppgifterna kan antas ha betydelse för vården (dvs. vård, undersökning och behandling) av patienten samt
2) patienten samtycker till det eller, om patientens samtycke
inte kan inhämtas, uppgiften kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Med patientens samtycke får direktåtkomsten också användas om det behövs för att på patientens begäran utfärda intyg om patientens pågående eller tidigare vård.
Direktåtkomsten får därutöver inte användas för några andra ändamål, inte ens med patientens samtycke.
Ett vanligt sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde skall kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra (se t.ex. prop. 1997/98:108 s. 27).
En grundläggande principfråga i detta sammanhang är därför i vad mån patienten bör ha något inflytande över den potentiellt sett breda tillgänglighet till journaluppgifter som informationstekniken möjliggör. Frågan har enligt vår uppfattning relevans inte bara när det gäller vårt förslag om för flera vårdgivare sammanhållen journalföring utan även för de gemensamma journalsystem som redan finns eller är under utveckling inom stora vårdgivare, t.ex. i landsting som centrerar all hälso- och sjukvård i samma nämnd, eller Praktikertjänst AB med ett stort antal mottagningar och anställda spridda över landet. Den frågeställningen behandlas emellertid först i nästa
avsnitt, avsnitt 12. I detta avsnitt diskuteras endast patientens inflytande i samband med för flera vårdgivare sammanhållen journalföring.
11.3.1. Vad gäller i dag?
Såsom närmare beskrivits i avsnitt 10.4.3 är det en skyldighet för vissa yrkeskategorier inom hälso- och sjukvården att föra patientjournaler. Denna skyldighet gäller oberoende av patientens inställning till dokumentationen som sådan. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som motsätter sig journalföringen antingen avstå från vården eller låta bli att lämna upplysningar som annars skulle ha antecknats i journalen. I detta avseende kan sägas att gällande rätt avspeglar lagstiftarens prioritering av andra intressen framför patientintegritet; främst intresset av att patienten får en god och säker vård men även bl.a. rättssäkerhets- och tillsynsintressen (se t.ex. prop. 1984/85:189 s. 14).
Förs en patientjournal elektroniskt, ingår den i ett vårdregister som omfattas av lagens (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagens tillämpningsområde. Enligt dessa lagar får personuppgifter behandlas i vårdregister oberoende av patientens inställning till personuppgiftsbehandlingen. Patientens samtycke till registreringen eller annan personuppgiftsbehandling krävs alltså inte. I vårdregisterlagens förarbeten anfördes bl.a. att en konsekvens av ett samtyckeskrav skulle vara att en vårdgivare som önskar använda IT för journalföring, måste föra patientjournaler enligt två parallella system, ett manuellt för det fåtal patienter som inte accepterar automatiserad behandling och ett automatiserat för övriga patienter (prop. 1997/98:108 s. 83 f.). Enligt regeringen skulle en sådan dubbelregistrering kunna få otillfredsställande återverkningar både på den arbetsmässiga och på den finansiella situationen för registerhållaren.
Enligt gällande rätt har en patient således inget rättsligt sanktionerat inflytande över huruvida patientjournaler förs eller huruvida de förs elektroniskt.
Inte heller har patienten någon omedelbar rätt enligt regleringen för personuppgiftsbehandling – i personuppgiftslagen eller vårdregisterlagen – till inflytande över eventuell överföring av journaluppgifter mellan olika vårdgivare, om överföringen sker i vårdsyfte eller för andra ändamål som avses i 3 § eller 4 § vårdregisterlagen.
Patientens rätt i sistnämnt avseende härrör i stället från grundläggande regler om respekt för patientens självbestämmande och integritet i hälso- och sjukvårdslagen (1982:763) samt i regler i sekretesslagen respektive lagen om yrkesverksamhet på hälso- och sjukvårdens område.
Hälso- och sjukvårdslagens principbestämmelse om respekt för patientens självbestämmande och integritet samt att vården så långt möjligt skall utföras i samråd med patienten gäller nämligen inte bara i fråga om den mer fysiska integriteten, exempelvis i fråga om vilka faktiska behandlingsåtgärder och liknande som skall vidtas. Bestämmelsen är generellt utformad och har även bäring på hanteringen av information om patienten. Bestämmelsen anses t.ex. föra med sig att det är ett naturligt inslag i vården att patientens samtycke inhämtas till att hans eller hennes journalhandling lämnas vidare till en annan vårdenhet (prop. 1990/91:111 s. 24). Även i lagen om yrkesverksamhet på hälso- och sjukvårdens område föreskrivs att hälso- och sjukvårdspersonal så långt möjligt skall utforma och genomföra vården i samråd med patienten och visa patienten omtanke och respekt (2 kap. 1 §).
Frågan om sekretesslagen och sammanhållen journalföring kommer närmare att behandlas i avsnitt 11.5. Redan här kan kortfattat nämnas att journalhandlingar och annan vårddokumentation omfattas av hälso- och sjukvårdssekretess och presumeras vara hemliga. Det krävs därför som huvudregel att en undantagsbestämmelse är tillämplig för att en uppgift skall kunna lämnas ut. En sådan bestämmelse är att den enskilde kan helt eller delvis efterge sekretess som gäller till skydd för honom eller henne, se 14 kap 4 § sekretesslagen; dvs. patienten kan samtycka till att uppgifter lämnas ut. Det finns också andra bestämmelser som innebär att hälso- och sjukvårdssekretessen inte hindrar att en uppgift lämnas, se närmare avsnitt 11.5. Över tillämpningen av de sistnämnda bestämmelserna har den enskilde inget inflytande.
När det gäller privat hälso- och sjukvård finns ingen uttrycklig bestämmelse som ger den enskilde patienten ett generellt inflytande över om uppgifter om honom eller henne får eller inte får lämnas ut. I praktiken tillmäts patientens inställning dock en stor betydelse i sammanhanget.
11.3.2. Utgångspunkter
Enligt vår uppfattning är det av samma skäl som anförts i förarbetena till vårdregisterlagen, se ovan, eftersträvansvärt att den nya regleringen och möjligheterna till sammanhållen journalföring inte kombineras med restriktioner som tvingar vårdgivarna att hålla sig med parallella, separata informationssystem; ett system för patienter som accepterar den sammanhållna journalföringen och ett system för dem som inte gör det. I stället bör regleringen ta sikte på hur tillgängligheten till journalinformation och annan vårddokumentation skall kunna begränsas i syfte att skydda patienters personliga integritet. En viktig utgångspunkt i våra överväganden i denna fråga är att hitta lösningar som är praktiskt smidiga och så pass enkla att tillämpa att de inte skapar en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete som riskerar att förta nyttan i stort med sammanhållen journalföring.
En ytterligare utgångspunkt för övervägandena i det följande är att det i första hand inte handlar om sekretessfrågor eller andra lagstiftningstekniska problem utan att fokus i stället sätts på frågorna i sak. Hur bör ett tillfredsställande integritetsskydd konstrueras? I vad mån bör detta skydd ta sig uttryck i att patienten har medbestämmanderätt över informationstillgången i sådana breda system som sammanhållen journalföring kan innebära? Hur kan medbestämmandet i så fall konkretiseras? Bör det vara inriktat redan på skede 1, den situation då journalföring sker eller först på skede 2, den senare situationen när det är aktuellt att ta del av en annan vårdgivares tidigare journaluppgifter? Eller både och?
11.3.3. Skede 1 – Patientens möjlighet att ta ställning till om uppgifter skall vara tillgängliga via sammanhållen journalföring
Redan den omständigheten att uppgifter är potentiellt sett tillgängliga kan av olika anledningar vara skrämmande för många patienter. Enligt vår uppfattning är det därför av avgörande betydelse för integritetsskyddet att patienten har möjlighet att få gehör för sin inställning redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras; alltså redan då uppgifterna kan göras potentiellt sett tillgängliga även för andra vårdgivare som deltar i ett system för sammanhållen journalföring. En annan ordning
skulle, menar vi, inte rimma med den hörnsten i hälso- och sjukvårdslagstiftningen som går ut på att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och att vården och behandlingen skall så långt möjligt utformas och genomföras i samråd med patienten.
När det gäller de närmare övervägandena om hur patientens inställning skall beaktas kan anmärkas att det i våra första tilläggsdirektiv anges att vår utgångspunkt ”… skall, liksom i dag, vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till utbyte av information om honom eller henne och till alla konkreta åtgärder som vidtas för dennes vård och behandling. Om undantag från denna huvudregel föreslås skall fördelar och nackdelar med ett sådant förslag noggrant belysas.”
Vi är emellertid inte övertygade om det lämpliga i att kräva ett uttryckligt – skriftligt eller muntligt – och informerat samtycke när det gäller huruvida vårddokumentation skall få göras tekniskt sett tillgänglig för andra vårdgivare i en sammanhållen journalföring. Vi befarar att det skulle kräva alltför mycket merarbete för hälso- och sjukvården sedd som helhet att dagligen administrera detta inhämtande av uttryckligt samtycke från varje ny eller nygammal patient, en oro som erfarenheter från införandet av lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) ger visst fog för.
Ett krav på uttryckligt och informerat samtycke avviker vidare från vad som gäller för hälso- och sjukvårdsverksamhet i övrigt där något absolut krav på att samtycke till vårdåtgärder skall vara uttryckligt och informerat inte uppställs utom i vissa särskilt reglerade fall. Presumerade eller tysta samtycken accepteras i inte ringa utsträckning (se t.ex. redogörelsen för olika slags samtycken i Rynning, Samtycke till medicinsk vård och behandling – En rättsvetenskaplig studie, Uppsala 1994, s. 316 f.). Inte heller i sekretesslagen uppställs krav på att enskilds samtycke till ett uppgiftsutlämnande skall vara uttryckligt och informerat (se vidare avsnitt 11.5).
Mot bakgrund av det sagda anser vi att det finns starka skäl att införa något annat slag av samtycke än det uttryckliga och informerade när det gäller sammanhållen journalföring. Vi föreslår därför att patienten vid varje vårdepisod skall ha en möjlighet att motsätta sig att vårddokumentation görs tillgänglig för utomstående vårdgivare. Det innebär dock inte att den enskilde får en rätt att motsätta sig att uppgifter journalförs eller annars dokumenteras i det elektroniska system som vårdgivaren använder. Det innebär bara att upp-
giften på den enskildes begäran spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direktåtkomst föreslås således inte få förekomma till spärrade uppgifter. Det skall med andra ord inte vara tekniskt möjligt för extern personal att läsa spärrad information.
Vi föreslår inte något undantag som innebär att en spärr i en akut nödsituation får forceras av en extern vårdgivare. Den enskildes aktiva ställningstagande om att uppgifter inte skall finnas potentiellt tillgängliga bör enligt vår uppfattning respekteras obetingat. Det ligger emellertid i sakens natur att en spärr skall på enskilds begäran kunna hävas, men då av den vårdgivare som lagt in spärren.
Däremot föreslår vi att det i ett system för sammanhållen journalföring skall kunna få ingå uppgift om att systemet innehåller spärrad information. Det tror vi kan ha fördelar i enskilda vårdsituationer genom att kunna öppna upp en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. Av integritetsskäl bör det dock inte framgå något mer än att det finns spärrad information.
Det sagda om spärrad information kräver elektroniska informationssystem som rent tekniskt är konstruerade för att hantera detta. Enligt vad vi erfarit finns det redan i vissa befintliga journalsystem funktioner för att begränsa åtkomst eller spärra information. Vi förutsätter att våra förslag i detta hänseende inte på ett negativt sätt kommer att försvåra utvecklingen av IT i hälso- och sjukvården. Vidare menar vi att det får ankomma på vårdgivare att skapa rutiner och system som innebär att den ordningen att journalförare ibland måste spärra uppgifter inte medför något nämnvärt merarbete för personalen.
Något krav på samtycke i den mening som avses i personuppgiftslagen såsom förutsättning för personuppgiftsbehandlingen föreslås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för att journaluppgifter lämnas ut till andra vårdgivare genom införande i ett system för sammanhållen journalföring.
Givetvis måste denna opt out-ordning kombineras med krav på att patienten blir informerad om att journalföring m.m. avses ske i en för flera vårdgivare sammanhållen journalföring och, inte minst viktigt, om sin rätt att motsätta sig att uppgifterna görs tillgängliga för andra vårdgivare än den patienten uppsökt. Enligt vår uppfattning bör tillgängliggörandet inte få ske innan denna information lämnats. Det bör uttryckligen framgå i patientdatalagen att detta är
en förutsättning för sammanhållen journalföring. Hur denna information skall lämnas kan inte anges generellt. Det säger sig självt att information inte skall behöva lämnas vid varje kontakttillfälle med en patient eller varje gång nya uppgifter registreras i ett elektroniskt informationssystem för vårddokumentation. Vi förutsätter att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring.
Vi föreslår vidare att patientens rätt att begära att uppgifter i den sammanhållna journalen spärras inte skall vara tidsbegränsad. När som helst bör patienten kunna begära spärrning av uppgifter hos den vårdgivare till vilken vårddokumentationen hör, låt vara att annan vårdgivare redan kan ha tagit del av uppgifterna. Det behöver, enligt vår uppfattning, dock inte innebära någon nämnvärd olägenhet för patienten. Fördelen med den sammanhållna journalföringen är ju att vårdgivarna normalt inte skall behöva ladda ned och lagra omfattande kopior av andra vårdgivares journalhandlingar för att bifoga dem till den egna journalföringen. Spärras uppgifterna först i efterhand av en vårdgivare, skall de alltså normalt inte finnas tillgängliga via en annan vårdgivare.
11.3.4. Skede 2 – Patientens möjlighet att ta ställning till om direktåtkomsten skall få användas
Med förslaget i det föregående kommer det i praktiken att bli en presumtion för att uppgifterna får göras tillgängliga för andra vårdgivare som är anslutna till en gemensam patientdatabas eller annat informationssystem. För att fungera på ett för den enskilde tydligt sätt kommer det som nyss sagts krävas att patienten informeras om att han eller hon faktiskt har ett val. Fullständig säkerhet om att informationen alltid når fram och förstås av alla patienter är ändå svår att uppnå. Man kan också befara att det ofta är ett svårt ställningstagande för patienter; något som kan inbjuda till ett passivt val. Även för den som vill göra ett aktivt val och fullt ut förstår vad det handlar om, kan det vara svårt att i förlängningen förutse och mot varandra väga konsekvenserna i en oviss framtid av det ena eller andra ställningstagandet. Patienten kan vidare känna sig i ett underläge i förhållande till läkaren och därför ha svårt att uttrycka sin vilja i frågan.
Mot bakgrund av de förhållanden som påtalats i det föregående anser vi att patientens opt out-möjligheter beträffande vårddoku-
mentationens tillgängliggörande för andra vårdgivare, inte räcker för att ge patienten ett tillförlitligt integritetsskydd vid sammanhållen patientjournalföring.
Det främsta skälet till att möjliggöra sammanhållen journalföring är den stora nyttopotential för den enskilde patienten som en sådan journal innebär. Det är därför angeläget att patienter inte ”för säkerhets skull” motsätter sig att uppgifter görs tillgängliga i det sammanhållna journalföringssystemet. Ett sådant beteende motverkas, tror vi, om den enskilde patienten får ett inflytande även i det senare skedet, skede 2, då någon extern vårdgivare tar del av uppgifterna.
Därför föreslår vi att patienten också får en rätt att bestämma om en vårdgivares hälso- och sjukvårdspersonal skall få ta del av annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen. Det beslutet bör tas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare eller då behovet annars i det konkreta fallet uppstår. Rimligen är det i denna konkreta situation normalt ganska oproblematiskt för patienten att ta ställning i frågan, i vart fall i jämförelse med ett beslut huruvida information skall spärras eller inte.
En opt out-modell i skede 2 kan, befarar vi, vålla stor osäkerhet både bland patienter och personal angående vad som kan eller inte kan presumeras om vad patienten går med på. I denna situation förespråkar vi ett krav på aktivt samtycke från patienten, dvs. att det skall inhämtas ett samtycke till att direktåtkomsten till annan vårdgivares vårddokumentation används. Något formellt krav på att samtycket skall vara uttryckligt eller att det skall dokumenteras bör dock inte uppställas.
Samtycket bör, som framgått av det nyss sagda, inhämtas först i skede 2, dvs. då den konkreta situation uppstått att den enskilde kommit som patient till en annan vårdgivare än den vars vårddokumentation behövs. Under förutsättning att personuppgiftslagens krav på att ett samtycke skall vara särskilt och otvetydigt uppfylls, menar vi emellertid att det finns utrymme att i vissa fall lämna ett samtycke i förväg. Redan i skede 1 – dvs. då patienten är hos den första vårdgivaren som dokumenterat uppgifterna – kan med andra ord patienten inte bara låta bli att kräva en spärr, utan också lämna samtycke i förväg till att en viss eller vissa kommande vårdgivare får använda direktåtkomsten vid en planerad och konkret vårdsituation. Detta bör t.ex. kunna komma i fråga avseende patienter som skrivs ut från sluten vård vid ett landstingssjukhus till fortsatt vård vid en vårdcentral i privat regi. Ett annat exempel är då patienten befinner
sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett remissförfarande. Om samtycke i dessa fall inte kan lämnas i förväg, får personalen hos dessa senare vårdgivare inte rimliga möjligheter att förbereda sina vårdinsatser på ett relevant sätt; något som inte är till gagn för patienten. Det i förväg lämnade samtycket kan i dessa fall lämpligen dokumenteras av den första vårdgivaren på remissen, utskrivningsmeddelandet eller motsvarande. Att patienten i skede 1 lämnar samtycke i fråga om situationer som varken är konkretiserade till viss vårdgivare eller viss situation kan dock inte tillåtas; sådana generella samtycken uppfyller inte personuppgiftslagens krav på giltighet.
Som nyss sagts föreslår vi inget undantag från förbudet för vårdgivare att bereda sig tillgång till information som spärrats av en annan vårdgivare; genom spärren förutsätts en sådan forcering inte heller vara teknisk möjlig. När det däremot gäller ospärrad information föreslår vi att det uttryckligen skall anges att informationen skall få inhämtas då den behövs för den vård eller behandling som patienten oundgängligen behöver, t.ex. i ett akut fall där det inte är rimligt att lägga tid på att fråga patienten om samtycke eller det inte är möjligt att utröna patientens inställning. Vi menar att detta är en rimlig lösning, eftersom patientens underlåtenhet att begära spärrning av vårddokumentation antyder en önskan om att dokumentationen skall kunna vara tillgänglig vid ett akut insjuknande eller liknande.
I detta sammanhang bör påpekas att vi inte föreslår särregler för vuxna patienter som tillfälligt eller varaktigt brister i beslutsförmåga. Hur dessa skall hanteras i hälso- och sjukvården har nyligen utretts av Utredningen om förmyndare, gode män och förvaltare. Den utredningen har bl.a. föreslagit en ny lag om ställföreträdare för vuxna med bristande beslutsförmåga inom hälso- och sjukvården samt vissa ändringar i sekretesslagen och personuppgiftslagen (SOU 2004:112). Utredningens förslag bereds för närvarande i Regeringskansliet. Enligt vår uppfattning bör de nämnda förslagen ligga till grund för hur denna patientgrupp skall hanteras i det avseende som här är i fråga.
Inte heller föreslår vi några särskilda bestämmelser när det gäller barn och tonåringar. Dessa menar vi bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården när det gäller t.ex. vems samtycke till en konkret åtgärd som är centralt; vårdnadshavarens eller den underåriges?
Ett problem är emellertid om en journal innehåller uppgifter om annan enskild än patienten. Sådana uppgifter om tredje man skall normalt undvikas men måste ändå kunna förekomma när det är be-
fogat. Oftast rör det sig om helt harmlösa uppgifter såsom t.ex. kontaktuppgifter, men inte alltid. Vi föreslår dock inte någon särregel för detta fall.
11.3.5. Ytterligare förutsättningar
I registerlagstiftning förekommer ibland att lagstiftaren på något sätt begränsar vilken information ett register eller en databas får innehålla eller vilka kategorier av personuppgifter som får eller inte får behandlas samt vilken information direktåtkomst får avse.
Vi har övervägt om det vore lämpligt att skapa särregler som undantar viss slags information från tillgänglighet i sammanhållen journalföring. En sådan begränsning skulle naturligen avse information som enligt en allmänt utbredd uppfattning i samhället är av mer integritetskänslig art än annan information, exempelvis journaluppgifter rörande psykiska eller veneriska sjukdomar, sexuella övergrepp, missbruk etc. Ett snarlikt alternativ är att undanta uppgifter från vissa speciellt känsliga verksamhetsområden såsom psykoterapi eller särskilda mottagningar för våldtagna kvinnor för att ta några exempel.
Flera problem skulle emellertid vara förknippade med sådana begränsningar. Ett problem är svårigheterna att objektivt och generellt beskriva vilken slags information som är mer känslig än annan. Vi tror att det i det närmaste är en omöjlig uppgift, bl.a. eftersom en mängd faktorer av mycket individuell karaktär inverkar på vilken information som i en given stund är av särskilt integritetskänslig art och därför inte bör få göras tillgänglig för andra vårdgivare i ett sammanhållet journalföringssystem. Enligt vår uppfattning är det redan av den anledningen olämpligt att i lag närmare precisera viss slags information som förbjuden att göra tillgänglig i en sammanhållen journalföring. Ett sådant absolut förbud kan vidare gå stick i stäv med patienters egna önskemål och den patientnytta som sammanhållen journalföring innebär. Ett ytterligare problem är att det som eventuellt skulle kunna gå att fastställa som särskilt känslig information kan dyka upp lite varstans i hälso- och sjukvården och i sammanhang som inte går att förutse på ett heltäckande sätt. Det ter sig därför inte lämpligt att undanta vissa verksamhetsområden inom hälso- och sjukvården från sammanhållen journalföring. Sammantaget har vi därför funnit att övervägande skäl talar för att inte undanta viss information eller vissa områden inom hälso- och sjukvården från möjligheten till sammanhållen journalföring.
Patientens möjligheter att spärra vårddokumentation samt att kunna motsätta sig att personal bereder sig tillgång till uppgifter som dokumenterats hos en annan vårdgivare, räcker dock inte, enligt vår uppfattning, för att tillförsäkra hälso- och sjukvårdens integritetsskydd ett bibehållet förtroende hos allmänheten vid sammanhållen patientjournalföring. Vi föreslår därför en bestämmelse som uttryckligen föreskriver att en vårdgivare bara får ta del av uppgifter som upprättats eller införts i den sammanhållna journalföringen av annan vårdgivare under förutsättning att vårdgivaren har en aktuell patientrelation med den enskilde patienten i fråga. Bestämmelsen är inte en regel om s.k. inre sekretess utan anger under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst till annan vårdgivares information som vårdgivaren medgetts genom den sammanhållna journalföringen. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares information till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Därutöver klargörs bl.a. att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.
Normalt torde det inte uppstå tveksamheter om en aktuell patientrelation föreligger eller inte. Huruvida en patientrelation över huvud taget föreligger eller har förelegat med en enskild person torde vara enkelt att konstatera. I flertalet fall torde det även falla sig naturligt att avgöra när en patientrelation är aktuell eller pågående och när man skall betrakta den som avslutad. En patientrelation bör t.ex. anses som avslutad då en intagen sjukhuspatient skrivs ut såsom färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi. Tveksamheter kan förstås uppstå. Man kan exempelvis fråga sig om en husläkare, och därmed den vårdgivare husläkaren hör till, har en ständigt aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Så bör normalt inte bedömas vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker sin husläkare kan en annan bedömning göras. Att i lag närmare definiera den exakta gränsen på sätt som helt täcker hälso- och sjukvårdens mångfacetterade verksamhet är inte möjligt. I den mån gränsdragningsproblem mot förmodan uppstår i den praktiska verksamheten
får det i stället överlåtas åt rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.
Vidare bör det krävas att befattningshavaren i skede 2 gör en bedömning av om uppgifter som han eller hon tänker bereda sig tillgång till kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett lågt ställt krav i sammanhanget men kräver ändå ett ställningstagande. En ortoped måste alltså göra en bedömning av om det kan antas ha betydelse för ortopedklinikens insatser att få del av vad som antecknats om höftledspatienten vid dennes besök hos en psykiatrisk öppenvårdsmottagning i ett annat landsting fyra år tidigare, för att ta ett exempel på när rekvisitet kanske inte är uppfyllt.
Vi har även diskuterat om det bör införas en tidsgräns för hur länge en vårdgivare får låta vårddokumentation vara tillgänglig utanför den egna verksamheten hos vårdgivaren. Efter den tiden skulle informationen spärras för tillgänglighet på motsvarande sätt som om den enskilde hade begärt det. Det sagda innebär alltså inte att informationen skulle gallras eller annars rensas bort; bara att den inte längre skulle vara tillgänglig för externa vårdgivare. Inom den egna verksamheten skulle tillgängligheten vara fortsatt ”normal”. I många fall, har det sagts oss, är emellertid gamla uppgifter i hög grad relevanta för patientsäkerheten. Det är dessutom just gamla uppgifter som patienter glömmer att berätta om eller inte längre kommer ihåg hos vilken vårdgivare de kan finnas. För patientsäkerheten skulle det därför i vissa fall kunna få negativa följder med en tidsgräns. Vi har därför avstått från att lämna ett sådant förslag.
11.3.6. För vilka syften skall den sammanhållna journalföringen få användas?
Såsom framgått av avsnitt 8.2 används vårddokumentation för många syften som inte har direkt betydelse för den individinriktade patientvården. Exempelvis används uppgifterna för kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjukvården. Det förekommer även att journaler lämnas ut till forskare, för att bara nämna några exempel på olika användningsområden för patientjournaler.
Vi menar att det är av avgörande betydelse för allmänhetens förtroende för nyordningen med sammanhållen journalföring att den gränsöverskridande direktåtkomsten bara används för syften och i
situationer som den enskilde kan förutse och ha kontroll över. Som kommer att framgå av avsnitt 11.5 föreslår vi ett sekretessbrytande undantag i sekretesslagen som gör det möjligt för myndigheter inom hälso- och sjukvården att lämna ut uppgifter genom att göra dem tillgängliga i den sammanhållna journalföringen utan föregående sekretessprövning av den utlämnande myndigheten. Ett sådant undantag bör – med tanke på integritetskänsligheten i vårddokumentationen och den potentiellt sett vida spridning bland hälso- och sjukvårdspersonalen som möjliggörs – inte omfatta annat än en uppgiftsspridning som är till direkt nytta för patienten. Vi föreslår därför att direktåtkomsten vid den sammanhållna journalföringen skall, med ett undantag, bara få användas i vårdsyfte på sätt som föreslagits i det föregående.
Undantaget avser utfärdande av intyg enligt nuvarande 10 § patientjournallagen; en bestämmelse som vi föreslagit skall föras över oförändrad till patientdatalagens reglering av patientjournalföringen, se avsnitt 10.4.3. Fråga är vad som skall gälla i de fall en patient begär intyg om vård som har meddelats av flera vårdgivare som är anslutna till ett sammanhållet journalföringssystem. I dessa fall har ju andra vårdgivares journaluppgifter inte fogats till intygsutfärdarens journal. Däremot kan denne enligt våra förslag under vissa förutsättningar få åtkomst till dessa uppgifter, nämligen om uppgifterna skall användas för ändamålet individinriktad vård och det föreligger en aktuell patientrelation.
Det skulle givetvis underlätta för patienten om denne enbart behövde vända sig till en av de inblandade vårdgivarna för att få ett intyg om den vård han eller hon erhållit. Detta framstår förmodligen också som det mest naturliga för patienten om denne tidigare samtyckt till att hans eller hennes journaluppgifter görs tillgängliga i det sammanhållna journalföringssystemet.
Det har påpekats att en sådan ordning skulle innebära merarbete för intygsutfärdaren. Enligt vår uppfattning förefaller detta dock tveksamt. Den som utfärdar intyget skall i för sig grunda detta även på övriga vårdgivares journalanteckningar. Dessa har emellertid redan varit tillgängliga för denne under vården av patienten och kunnat ligga till grund för bedömningen av åtgärder som vidtagits. Att inte införa en sådan ordning skulle enligt vår uppfattning snarare försvåra utfärdandet av intyg, eftersom intygsutfärdaren i det fall vården har upphört enbart har tillgång till de egna journalhandlingarna beträffande patienten.
Vi menar därför att det skall vara möjligt för en patient som har vårdats av flera vårdgivare som deltar i ett sammanhållet journalföringssystem att vända sig till en av dem för att få ett intyg om den vård som har meddelats. Detta kräver enligt vår bedömning inte någon ändring av patientjournallagens bestämmelse om skyldigheten att utfärda intyg.
Däremot krävs att det blir tillåtet att använda uppgifterna i den sammanhållna journalföringen även för ändamålet utfärdande av intyg. Vidare krävs att en vårdgivare – trots att denne inte har en aktuell patientrelation med patienten i fråga – ges rätt att bereda sig tillgång till uppgifter som införts i den sammanhållna journalföringen av en annan vårdgivare för att på patientens begäran utfärda intyg om vården. Eftersom det är patienten som begär att intyget skall utfärdas, så måste denne därmed anses ha samtyckt till att den som skall utfärda intyget tar del av de journaluppgifter i den sammanhållna journalföringen som är hänförliga till den aktuella vården.
Inskränkningen i fråga om direktåtkomstens användningsområde till vårdsyfte och utfärdande av intyg på begäran av patienten bör vara ovillkorlig. Patienten bör alltså inte kunna samtycka till annan användning av en vårdgivares direktåtkomst till andra vårdgivares vårddokumentation. Förutom att vi anser att detta förbud har betydelse från integritetssynpunkt, menar vi att det också kan ha betydelse för anslutna vårdgivare. I annat fall kan det vara svårt för dessa att förutse i vilka sammanhang deras vårddokumentation kan komma att användas av andra vårdgivare. För en privat vårdgivare kan det t.ex. vara av betydelse för beslutet att ansluta sig till sammanhållen journalföring att veta t.ex. att landstinget inte får lov att inhämta samtycke från patienter till att använda direktåtkomsten för att kontrollera den privata vårdgivarens verksamhet eller att konkurrerande vårdgivare inte på motsvarande sätt kan be patienter om lov att få använda direktåtkomsten på ett sätt som kan skada den utlämnande vårdgivaren. Vi föreslår därför ett uttryckligt förbud mot att ens med patientens samtycke använda direktåtkomsten via sammanhållen journalföring för andra syften än de uttryckligen tillåtna.
Slutligen kan poängteras att bestämmelserna om sammanhållen journalföring bara reglerar ett visst sätt att göra journaler tillgängliga över gränser, elektroniskt och utan föregående sekretessprövning i varje enskilt fall då direktåtkomsten används.
För det fall en vårdgivare vill använda andra vårdgivares uppgifter för t.ex. verksamhetsuppföljning, får uppgifterna begäras ut på samma sätt som i dag, dvs. kontakt får tas med de andra vårdgivarna med en
begäran om att få del av uppgifterna, varefter en sekretessprövning måste göras. I avsnitt 15 och 17 återkommer vi till frågor om sammanhållen journalföring och verksamhetsuppföljning respektive forskning inom hälso- och sjukvårdsområdet.
11.3.7. Sammanfattning och avslutande synpunkter
Sammanfattningsvis föreslår vi således att den enskilde patienten skall ha en rätt att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare i den sammanhållna journalföringen. Utnyttjar patienten sin rätt, skall uppgifterna spärras. Spärrade uppgifter får inte vara tekniskt åtkomliga genom direktåtkomst för andra vårdgivare.
För det fall patienten inte motsätter sig ett tillgängliggörande i den sammanhållna journalföringen föreslås att hans eller hennes samtycke som huvudregel skall vara en förutsättning i det senare skedet, skede 2, då personal hos en vårdgivare behöver ta del av uppgifter som en annan vårdgivare dokumenterat. Undantag från huvudregeln gäller om samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Vidare anges som en förutsättning att endast vårdgivare hos vilken en aktuell patientrelation förekommer får ta del andra vårdgivares vårddokumentation via direktåtkomst samt att uppgifterna skall antas ha betydelse för vården av patienten. Direktåtkomsten får vidare användas för att på patientens begäran utfärda intyg.
Våra förslag skall förstås så att de anger den yttre ramen för det tillåtna när det gäller sammanhållen journalföring. Som framgått av tidigare avsnitt är det upp till vårdgivarna att på frivillig väg samarbeta i individinriktat patientarbete genom sammanhållen journalföring. Inget hindrar givetvis att vårdgivare i sådana samarbeten tillämpar strängare krav på t.ex. samtyckets utformning än vad lagen kräver eller anger en tidsfrist för hur länge uppgifter får vara tillgängliga för andra vårdgivare. Så kan ju vara lämpligt på många områden lika väl som att det kan vara lämpligt att helt utesluta viss särskilt känslig information från sammanhållen journalföring. Enligt vår uppfattning bör det överlåtas till vårdgivarna att inom lagens ramar närmare bestämma över detta.
Vi har i utredningen fört en diskussion om huruvida en spärr skall i en akut nödsituation kunna forceras av en extern vårdgivare. Ett argument som framförts är att många patienter utan denna möjlighet till nödöppning, inte kommer att våga utnyttja sin rätt att begära att
uppgifterna spärras trots att de egentligen vill det. Patientens rätt till självbestämmande och valmöjlighet sägs därigenom bli kringskuren genom ett missriktat integritetsskydd.
Vi menar dock att det är av fundamental betydelse att gå försiktigt fram vid införande av ny lagstiftning om öppnade möjligheter till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne skall vara för hälso- och sjukvårdspersonal inom landet. Innebörden av självbestämmanderätten är ju bl.a. att också beslut som för en utomstående ter sig mindre rationella respekteras.
Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter. Inte heller kan vi nu veta något om anledningen till att patienter inte spärrar uppgifter. Den nyordning som vi föreslår får naturligen utvärderas i sinom tid.
Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhetssynpunkt vid akutsjukvård, kan det finnas skäl att överväga lagändring som gör undantag från den ordning som vi föreslagit. Vi vill dock i detta sammanhang särskilt påpeka att förslaget om absoluta spärrar inte på något sätt innebär några försämrade möjligheter för hälso- och sjukvården att få tillgång till information än vad man i dag har. Ordinära kanaler via telefonsamtal, telefax, e-post m.m. kan givetvis fortfarande användas för att efterforska information som sedan kan lämnas ut, dock inte utan att en sekretessprövning görs av utlämnaren.
Skäl att göra ett undantag från de absoluta spärrarna skulle också kunna övervägas om en framtida utvärdering visar att situationen snarare är den omvända. Patienter som egentligen vill spärra känner sig tvingade att låta bli av rädsla för att viktig information då inte skall finnas elektroniskt tillgänglig vid en eventuell kommande livshotande akutsituation.
Vi är emellertid inte övertygade om att de farhågor som kommit till tals är befogade. Exempelvis bör det krav på samtycke m.m. som vi föreslår skall gälla i skede 2 kunna tillfredsställa flertalet av de patienter som vill att ospärrade uppgifter om dem bara skall få användas i nödsituationer. I sammanhanget kan också påpekas att våra förslag om krav på absoluta spärrmöjligheter inte på något sätt hindrar vårdgivare från att bygga system med mer finmaskiga spärrar än de
vi föreslagit skall gälla som rättsligt krav. Exempelvis kan vårdgivare inom ramen för våra förslag bygga system där patienter kan välja mellan olika grader av spärrar, t.ex. att spärra information för alla andra vårdinrättningar än landets akutmottagningar eller liknande. Vi har dock avstått från att införa sådana graderade möjligheter som ett rättsligt krav på vårdgivarna.
I avsnitt 12 kommer vi att föreslå en del ytterligare åtgärder som kommer att få betydelse även vid sammanhållen journalföring, t.ex. att användning av direktåtkomsten skall loggas och kunna spåras av den patient som oroar sig för missbruk.
Under alla förhållanden menar vi att det inte går att dra några slutsatser om i vilken mån och varför patienter kommer att göra det ena eller andra valet och vilken betydelse det kommer att få för en god och säker vård. Vi menar därför att våra förslag på nuvarande stadium är en rimlig avvägning mellan patientnyttan och integritetsriskerna med sammanhållen journalföring.
11.4. Tryckfrihetsförordningen och sammanhållen journalföring
Vår bedömning: Tryckfrihetsförordningen hindrar inte att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.
Patientjournaler och annan vårddokumentation inom den allmänna hälso- och sjukvården omfattas av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar, något som ofta anförts som ett hinder för gränsöverskridande IT-lösningar inom hälso- och sjukvården. Under vårt arbete har vi stött på önskemål om att patientjournaler skall undantas från offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. Exempelvis har Socialstyrelsen och Sveriges Kommuner och Landsting genom bl.a. InfoVU-projektet uttryckt sådana önskemål. Synpunkter om att vi måste överväga ett sådant undantag har bl.a. framförts av IT-politiska strategigruppens tidigare arbetsgrupp för IT i vård och omsorg och av Carelink (se om dessa aktörer i avsnitt 3).
Vi har inte fått i uppdrag att utreda och överväga grundlagsändringar. Något mandat att lämna förslag om att patientjournaler skall undantas från handlingsoffentligheten har vi alltså inte. Med tanke på våra förslag om sammanhållen journalföring i för flera vårdgivare gemensamma databaser eller andra elektroniska informationssystem,
finns det emellertid behov av att diskutera i vad mån bestämmelserna om allmänna handlingar i 2 kap. tryckfrihetsförordningen innebär hinder eller problem i sammanhanget.
11.4.1. Gällande rätt
I den allmänna hälso- och sjukvården omfattas, som nyss sagts, journalhandlingar och annan vårddokumentation av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar.
Enligt 2 kap. 3 § första stycket tryckfrihetsförordningen förstås med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän, om den för det första förvaras hos en myndighet och för det andra enligt bestämmelserna i 2 kap. 6 § eller 7 §tryckfrihetsförordningen anses som inkommen till eller upprättad hos en myndighet. Detsamma gäller om vården bedrivs av kommunala företag enligt de förutsättningar som anges i 1 kap. 9 § sekretesslagen. När det i det följande talas om myndighet inkluderas även sådana företag.
Beträffande upptagningar, t.ex. elektroniskt lagrade uppgifter, gäller som huvudregel att förvaringskriteriet är uppfyllt när upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra stycket första meningen). En upptagning är förvarad hos en myndighet, när upptagningen exempelvis är tillgänglig i en dator som finns hos myndigheten. Förvaringskriteriet är också uppfyllt, om myndigheten kan ta del av upptagningen via terminaluppkoppling eller annan förbindelse med dator hos annat organ än myndigheten själv. Direktåtkomst krävs emellertid inte. Det räcker att myndigheten kan på begäran få en utskrift av upptagningen från ett organ som genom avtal med myndigheten förvarar upptagningen åt myndigheten (prop. 1975/76:160 s. 89).
Genom en ändring av 2 kap 3 § tryckfrihetsförordningen som trädde i kraft den 1 januari 2003 har det ur förvaringshänseende gjorts en åtskillnad mellan, å ena sidan, färdiga elektroniska handlingar och, å andra sidan, handlingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, också kallat potentiella handlingar. Någon legal definition av de båda handlingsslagen har dock inte införts.
Med färdig elektronisk handling avses enligt förarbetena sådana elektroniska handlingar där utställaren – myndigheten eller den som lämnat in handlingen till myndigheten – har gett den ett bestämt, fixerat innehåll som går att återskapa gång på gång. Som typiska exempel på färdiga elektroniska handlingar nämns e-brev, promemorior, protokoll och beslut i elektronisk form.
Som exempel på potentiella handlingar nämns sammanställningar av uppgifter ur stora datoriserade myndighetsregister, där uppgifterna kan skifta från tid till annan och där viss information avses bli sammanställd efter önskemål i det enskilda fallet (prop. 2001/02:70 s. 20 f.). Varje sammanställning av uppgifter ur sådana upptagningar anses vara en hos myndigheten förvarad handling alldeles oavsett huruvida sammanställningen tidigare gjorts och oavsett huruvida myndigheten i sin egen verksamhet saknar anledning att göra en sådan sammanställning. Bestämmelsen är ett uttryck för den för offentlighetsprincipen viktiga likställighetsprincipen, som innebär att allmänheten skall ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten.
Åtskillnaden mellan handlingsslagen har betydelse för frågan om en upptagning är en allmän handling eller inte. Från huvudregeln om när upptagningar skall anses förvarad hos en myndighet finns nämligen två undantag som bara tar sikte på sammanställningar av uppgifter ur en upptagning för automatiserad behandling. Undantagen, eller inskränkningarna, gör ingen skillnad mellan inkomna och upprättade handlingar.
Den första inskränkningen föreskrivs i 2 kap. 3 § andra stycket andra meningen och innebär att en sammanställning av uppgifter ur en upptagning bara anses förvarad hos myndigheten, om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Sammanställningar som inte kan tas fram genom rutinbetonade åtgärder, anses däremot inte förvarade hos myndigheten och utgör alltså inte allmänna handlingar. Bestämmelsen infördes genom en ändring i tryckfrihetsförordningen som trädde i kraft den 1 januari 2003. Ändringen var emellertid en kodifiering av den praxis som under åren utbildats på området bl.a. på grundval av förarbetsuttalanden till tryckfrihetsförordningen. Genom bestämmelsen har klargjorts att en färdig elektronisk handling anses förvarad hos myndigheten även om det krävs mer än rutinbetonade åtgärder för att ta fram handlingen.
Den andra inskränkningen i fråga om förvaringskriteriet föreskrivs i tredje stycket och innebär att en sammanställning av uppgifter ur
en upptagning inte anses förvarad hos myndigheten, om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig; den s.k. begränsningsregeln. Begränsningsregeln gäller även om sammanställningen kan tas fram med rutinbetonade åtgärder. Med personuppgifter avses här all slags information som direkt eller indirekt kan hänföras till fysisk person (i livet eller avliden). Syftet med bestämmelsen är att allmänheten inte med stöd av offentlighetsprincipen skall kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är rättsligen förhindrad att ta fram i sin egen verksamhet. Endast begränsningar i lag eller förordning – t.ex. förbud i s.k. registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register – är relevanta. Det kan noteras att färdiga elektroniska handlingar inte omfattas av begränsningsregeln. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om de innehåller personuppgifter och även om det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (a. prop. s. 38). Före den 1 januari 2003 var begränsningsregeln inte uttryckligen tillämplig bara i fråga om sammanställningar. Även en färdig elektronisk handling torde således tidigare ha kunnat undantas från förvaringskriteriet, förutsatt att handlingen ingick i ett personregister och träffades av ett förbud att göra handlingen tillgänglig.
I 2 kap. 6 § tryckfrihetsförordningen anges när en handling anses inkommen till en myndighet. I fråga om upptagningar gäller att den anses inkommen i samma ögonblick som den är att anse som förvarad hos myndigheten på sätt som anges i 3 § andra stycket. Det krävs emellertid att det är någon utanför myndigheten som har vidtagit den åtgärd som gjort handlingen tillgänglig för myndigheten. Är det någon vid den egna myndigheten som vidtagit åtgärden, får bedömas om handlingen är upprättad i enlighet med 2 kap. 7 § tryckfrihetsförordningens olika kriterier på när en handling är att anse som upprättad. Huvudregeln är att en handling anses upprättad först då den har expedierats eller annars föreligger i ett slutligt skick på sätt närmare anges i paragrafen.
Från huvudregeln finns några undantag varav ett ofta ansetts vara tillämpligt på journalhandlingar som kan finnas i en patientjournal (se t.ex. prop. 1984/85:189 s. 15 f.). Enligt detta undantag gäller för diarium, journal samt sådant register eller annan förteckning som
förs fortlöpande, att en handling anses upprättad när den har färdigställts för anteckning eller införing (7 § andra stycket 1).
I 2 kap. 8–11 §§ föreskrivs vissa undantag m.m. i fråga om vad som skall anses som allmän handling. De har dock ingen nämnvärd betydelse just för frågan om en för flera vårdgivare sammanhållen journalföring.
11.4.2. Vår bedömning
Våra förslag om sammanhållen journalföring avser, som flera gånger tidigare påpekats, öppnade möjligheter för vårdgivare att skapa informationssystem för breddad elektronisk tillgänglighet över vårdgivargränser till främst journaluppgifter om patienter. I och med att våra förslag inte är inriktade på att med lagstiftning bygga ett färdigt och konkret system, är det vanskligt att närmare precisera hur tryckfrihetsförordningens bestämmelser om allmänna handlingar slår igenom vid sammanhållen journalföring. Tillämpningen kan t.ex. påverkas av den rent tekniska utformningen av samarbetet. Vidare är sammanhållen journalföring en ny rättslig konstruktion, varför det är ganska osäkert hur praxisbildande domstolar i enskilda fall kan antas bedöma olika frågeställningar och gränsdragningsproblem som eventuellt skulle kunna uppstå. Eftersom tryckfrihetsförordningen i debatten anförts som ett stort hinder mot gränsöverskridande ITlösningar inom hälso- och sjukvården, har vi emellertid funnit skäl att i redovisningen i det följande behandla några frågeställningar som kan uppkomma.
Med patientjournal avses enligt 2 § patientjournallagen (1985:562) de anteckningar som görs eller de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder (journalhandlingar). Som journalhandlingar anses enligt nämnda paragraf framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel.
Patientjournalen är således närmast en sammanhållande term för den samling av sinsemellan fristående handlingar, journalhandlingar, som har det gemensamt att de i vidare mening berör vården av en enskild patient (se t.ex. prop. 1984/85:189 s. 15). För själva begreppet patientjournal torde det alltså egentligen inte innebära någon avgörande skillnad om journalhandlingarna samlas från flera vårdgivare
eller inte. Någon anledning att införa en ny juridisk begreppsfigur för en för flera vårdgivare sammanhållen journalföring ser vi därför inte.
Då flera vårdgivares personal för journal i ett elektroniskt informationssystem som är tillgängligt för de samarbetande vårdgivarna, är det varje separat journalhandling och inte patientjournalen som sådan som utgör utgångspunkten för vad som skall anses höra till en myndighet och för vilken myndigheten ansvarar. Varje myndighet eller privata vårdgivare för vid sammanhållen journalföring in uppgifter i egna journalhandlingar. Likaså bör de separata journalhandlingarna utgöra utgångspunkten för vad som skall anses utgöra allmänna handlingar hos myndigheter som deltar i den sammanhållna journalföringen. Patientjournalen som sådan utgör alltså inte en enstaka allmän handling, om däri ingår journalhandlingar från flera olika myndigheter. Det sammanhänger med att varje allmän handling är, som vi ser det, antingen upprättad hos eller inkommen till en förvarande myndighet enligt tryckfrihetsförordningens regelverk. En enskild allmän handling kan alltså inte vara både och hos samma myndighet.
Bestämmelserna i 2 kap. 3 § första stycket och andra stycket första meningen tryckfrihetsförordningen medför att elektroniska journalhandlingar och annan vårddokumentation som en myndighet har elektronisk åtkomst till (egna journalhandlingar) eller direktåtkomst till (andras journalhandlingar) utgör allmänna handlingar hos den myndigheten. Ospärrade journalhandlingar och annan ospärrad vårddokumentation kommer alltså att utgöra allmänna handlingar hos samtliga myndigheter som är anslutna till informationssystemet på något sätt som innebär faktisk tillgång till informationen. Denna anses ju enligt 2 kap. 3 § andra stycket första meningen tryckfrihetsförordningen förvarad hos offentliga vårdgivare som förfogar över sådana tekniska hjälpmedel som krävs för att överföra upptagningen till uppfattbar form. För det sistnämnda förvaringskriteriet är det utan betydelse om förfogandet avser handlingar som genererats i myndighetens egen verksamhet eller som är inkomna genom att myndigheten har direktåtkomst till andra organs elektroniska information.
Endast sådana handlingar som framställs i en myndighets egen verksamhet kan, som nyss sagts, vara upprättade hos den myndigheten. Om en befattningshavare som för in en uppgift i en journalhandling tillhör en myndighet, blir det en upptagning som är en förvarad och upprättad allmän handling hos den egna myndigheten. För det fall en patient motsätter sig att uppgiften görs tillgänglig för
andra vårdgivare genom sammanhållen journalföring, skall uppgiften spärras, se avsnitt 11.3. Den får då inte göras elektroniskt tillgänglig för andra vårdgivare. Spärrade uppgifter blir alltså inte allmänna handlingar hos andra myndigheter som är anslutna till sammanhållen journalföring. Fortfarande är upptagningen dock en förvarad och upprättad allmän handling hos den myndighet som ansvarar för uppgiften.
Om uppgiften inte spärras utan görs tillgänglig för andra till informationssystemet anslutna myndigheter, blir uppgiften en förvarad och inkommen allmän handling hos varje ansluten annan myndighet redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.
Så som vi tänkt oss sammanhållen journalföring innebär den tekniska tillgängligheten således att ospärrade journaluppgifter till följd av förvaringskriteriet i 2 kap. 3 § första stycket och andra stycket tryckfrihetsförordningen blir förvarade och inkomna allmänna handlingar även hos varje annan myndighet som har direktåtkomst till uppgifterna.
Det kan dock tänkas att system skapas där förvaringskriteriet möjligen inte bör anses uppfyllt på ett så tidigt stadium. Vi tänker här på lösningar som innebär att patienten själv förfogar över t.ex. ett åtkomstkort, ett smart card, som måste sättas in i en läsapparat eller liknande för att ge en myndighet möjligheter att läsa uppgifter som finns i andra vårdgivares journalhandlingar. I sådant fall kan det ifrågasättas, menar vi, om myndigheten verkligen disponerar över möjligheten att ta fram uppgiften i läsbar form på sätt som krävs. För att förvaringskriteriet ändå skall vara uppfyllt räcker det dock att en enda befattningshavare vid en myndighet – t.ex. tjänstgörande chefsläkare på en akutmottagning – har möjlighet att utan åtkomstkortet ta fram uppgiften.
Som redovisats i det föregående avsnittet finns två bestämmelser som innebär undantag från huvudregeln om att förvarade handlingar är allmänna. Dessa undantag gäller, som redan sagts, endast för sammanställningar av uppgifter ur en upptagning för automatiserad behandling. Det kan enligt vår mening diskuteras i vilken utsträckning elektroniska patientjournalsystem innehåller färdiga elektroniska handlingar. EKG-kurvor och signerade recept torde kunna tas som exempel på färdiga elektroniska journalhandlingar. Detsamma gäller signerade journalanteckningar som kan tas fram gång på gång. Vi har
ingen möjlighet att här dra upp riktlinjer för den närmare gränsen mellan de båda handlingsslagen. Den avgränsningen får överlåtas åt rättstillämpningen.
Frågeställningen har emellertid betydelse när det gäller räckvidden av de nämnda undantagsbestämmelserna och därmed för bedömningen av vilka andra vårdgivares journalhandlingar m.m. som är förvarade och inkomna allmänna handlingar hos en myndighet som har direktåtkomst till dem via sammanhållen journalföring, dvs. vad som utgör allmänna handlingar eller inte hos myndigheter i fråga om journalhandlingar och annan vårddokumentation som inte genererats i den egna verksamheten. Förenklat uttryckt kan sägas att ju mer information som bedöms utgöra färdiga elektroniska handlingar, desto mindre blir utrymmet att tillämpa undantagen för sammanställningar av uppgifter. Samtidigt torde gälla att utdrag ur en eller flera färdiga elektroniska handlingar eller sammanställningar av sådana handlingar i sig kan vara en sammanställning som undantagen är tillämpliga på.
Av de båda undantagen skall här det undantaget beröras som kallas för begränsningsregeln.
Vi har i avsnitt 11.3 föreslagit en hel del bestämmelser som rättsligen begränsar myndigheternas möjligheter att använda direktåtkomst till andra vårdgivares journalhandlingar eller annan vårddokumentation. Begränsningarna består av att vissa rekvisit, förutsättningar, måste vara för handen för att direktåtkomsten skall få användas. En sådan begränsning är att det skall finnas en aktuell patientrelation. En annan begränsning är att patienten, utom i rena nödsituationer, skall samtycka till användningen. Från integritetssynpunkt är det bra om regler som föreskriver villkor om en aktuell patientrelation m.m. för att en vårdgivare skall få göra en begärd sammanställning, innebär att sammanställningen anses förvarad hos vårdgivaren endast om villkoren är uppfyllda. Samtidigt är det för de intressen som bär upp offentlighetsprincipen viktigt med en restriktiv tolkning av tryckfrihetsförordningens bestämmelser om när handlingar inte skall anses vara allmänna.
Med vägledning av begränsningsregelns ordalydelse – som inte inskränker sig till endast vissa slags befogenhetsbegränsningar – finns utrymme, menar vi, att hävda att de förutsättningar som vi föreskrivit utgör sådana rättsliga begränsningar som avses i tryckfrihetsförordningen.
Det är dock inte självklart att begränsande rättsliga regler som är villkorade på något sätt – t.ex. att en patientrelation eller ett samtycke skall föreligga för att myndigheten A skall få ha rätt att söka
efter och bereda sig tillgång till en journalhandling som upprättats hos myndigheten B eller en privat vårdgivare – utgör sådana begränsningsregler som avses i tryckfrihetsförordningen. Av tryckfrihetsförordningens förarbeten framgår att lagstiftaren hade ovillkorade förbud och begränsningar, såsom förbud i fråga om sökbegrepp och samkörning, i åtanke när bestämmelsen formulerades (prop. 1975/76:160 s. 87 f.). En tolkning i linje med intentionerna i förarbetena är dock, som nyss framhållits, inte alldeles given med tanke på bestämmelsens ordalydelse. Det kan också påpekas att begränsningar som fanns i åtanke då bestämmelsen formulerades för 30 år sedan handlade i huvudsak om rättsliga begränsningar att ta fram information från den egna verksamheten. Enligt vår mening får rättsläget anses oklart.
Vi vill framhålla att det finns system som är uppbyggda på ett sätt som väl passar in med vårt sätt att tolka begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen och med våra förslag till rättsliga förutsättningar för användning av direktåtkomsten.
Ett sådant är den Nationella Patientöversikten som administreras av Carelink. I denna översikt har hälso- och sjukvårdspersonal hos några myndigheter getts direktåtkomst till uppgifter om patienter som finns journalförda hos några andra myndigheter. För att åtkomst skall beviljas i systemet krävs att befattningshavaren antingen registrerar att en patient samtyckt till åtkomsten eller registrerar att ett nödläge föreligger. Registrerar befattningshavaren inte att någon av dessa förutsättningar finns, kan direktåtkomsten inte användas; åtkomst nekas av systemet. Befattningshavaren i detta fall förfogar visserligen över möjligheten att falskeligen påstå att förutsättningarna finns och har därmed teknisk åtkomst till uppgifterna. Förvaringskriteriet i 2 kap. 3 § första stycket och andra stycket första meningen tryckfrihetsförordningen torde alltså vara uppfyllt som vi ser det.
Om system för sammanhållen journalföring konstrueras på det sätt som här beskrivits, menar vi emellertid att rättstillämningen kan te sig egendomlig, om våra förslag till rättsliga förutsättningar inte skulle godtas som sådana rättsliga begränsningar som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. Tryckfrihetsförordningen skulle i ett sådant fall inte godta annat än att myndigheten A, vid en begäran till myndighet A om utfående av allmän handling avseende en journalhandling som upprättats hos myndigheten B, falskeligen i informationssystemet påstår att rättsliga krav är uppfyllda trots att så inte är fallet. Den för offentlighetsprincipen viktiga likställighetsprincipen – som innebär att allmänheten skall ha till-
gång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten – upprätthålls knappast med en annan tolkning av begränsningsregeln än den vi förordar.
Med tanke på den stränga sekretess som råder för uppgifterna i patientjournaler torde emellertid inte någon olägenhet uppstå alldeles oavsett om begränsningsregeln kan anses vara tillämplig eller inte. Möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handlingar hos myndigheter inom hälso- och sjukvården är på grund av sekretessregleringen mycket små.
En konsekvens av om alla journalhandlingar m.m. vid sammanhållen journalföring blir allmänna handlingar hos alla anslutna myndigheter – alldeles oavsett vem som infört handlingarna i systemet – är att en begäran att få del av handlingar kan göras hos vem som helst av de anslutna myndigheterna. En begäran måste vidare prövas av den eller de myndigheter hos vilken begäran görs, se 2 kap. 14 § tryckfrihetsförordningen. Myndigheter har dock vissa möjligheter att hänvisa en sökanden till annan myndighet, se 2 kap. 12 § andra stycket andra meningen tryckfrihetsförordningen. Om begäran avslås, får sökanden föra talan mot beslutet hos domstol (se 15 kap. 7 § sekretesslagen). Journaluppgifter som hos offentliga vårdgivare utgör allmän handling utgör dock inte allmän handling hos en privat vårdgivare, som är ansluten till systemet och har tillgång till uppgifterna. Frågan om samma journaluppgifts utlämnande kommer således att regleras på olika sätt, beroende på om begäran görs hos en offentlig eller en privat vårdgivare. Enligt vår uppfattning utgör denna olika reglering inte i sig något rättsligt hinder mot för flera vårdgivare sammanhållen journalföring. En annan sak är förstås att det från integritetssynpunkt är värt att notera att de privata vårdgivarnas journalhandlingar i större utsträckning kommer att omfattas av offentlighetsprincipens regelverk. Jämfört med dagens förhållande är det en konsekvens som i vart fall potentiellt sett innebär en utvidgad tillgänglighet till patientdata. Vi menar emellertid att fördelarna i förväntad ökad patientsäkerhet och förbättrad effektivitet i verksamheten väger tyngre.
Sammanfattningsvis bedömer vi mot bakgrund av det sagda att 2 kap. tryckfrihetsförordningen inte utgör hinder mot att flera vårdgivare – offentliga eller privata – för journal i en gemensam patientdatabas eller liknande på ett sätt som i praktiken innebär en sammanhållen patientjournal. Visserligen genererar tryckfrihetsförordningens reglering en del rättsliga frågeställningar som det inte finns något
entydigt svar på. Vi menar emellertid att detta inte kommer att ha så stor betydelse i den praktiska tillämpningen. Regleringen i tryckfrihetsförordningen medför således inte problem eller andra olägenheter i en omfattning som påverkar genomslagkraften i våra förslag om öppnade möjligheter till sammanhållen journalföring genom direktåtkomst över gränser för myndigheter och privata vårdgivare.
11.5. Sekretess och sammanhållen journalföring
Vårt förslag: Vi föreslår en ny bestämmelse i 7 kap. sekretesslagen som anger att hälso- och sjukvårdssekretess enligt 7 kap. 1 c § första stycket inte hindrar att uppgift får lämnas till annan myndighet inom hälso- och sjukvården samt till enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Bestämmelsen tas in i en ny paragraf, 7 kap. 1 d §.
Till den nya paragrafen flyttas även den nuvarande bestämmelsen i 7 kap. 1 c § femte stycket andra meningen som anger att uppgifter som omfattas av sekretess enligt första stycket i samma paragraf utan hinder av sekretess får lämnas ut i vissa fall.
Någon särreglering behövs inte för de privata vårdgivarna.
Som påtalats i avsnitt 9.3.1 är det sekretessregleringen som utgör det största juridiska hindret mot sammanhållen patientjournalföring. I detta avsnitt redogörs översiktligt för gällande rätt samt för Offentlighets- och sekretesskommitténs (OSEK) förslag till ny reglering i fråga om sekretessen på hälso- och sjukvårdens område. Våra överväganden och förslag redovisas i avsnitt 11.5.3.
Det bör inledningsvis påpekas att det – eftersom vi inte föreslår en för samtliga vårdgivare obligatorisk sammanhållen journal – i vårt uppdrag ingår att granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna bör få användas. Enligt våra första tilläggsdirektiv skall vi lämna förslag till hur detta skall regleras. Vårt förslag om öppnade möjligheter till sammanhållen journalföring är ett sådant förslag. I avsnitt 14–17 återkommer vi till frågor om överföring av personuppgifter i andra sammanhang. Då blir det åter aktuellt att beröra sekretessfrågor. I detta avsnitt behandlas enbart frågan om sekretess och sammanhållen journalföring.
11.5.1. Den rättsliga regleringen
Sekretessgränser inom hälso- och sjukvården
Vårddokumentation hos offentliga vårdgivare och hos sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen utgör allmänna handlingar. Som sådana omfattas de av sekretesslagens bestämmelser om sekretess och tystnadsplikt i den offentliga förvaltningen.
Enligt sekretesslagen gäller sekretess både i förhållande till enskilda (fysiska eller juridiska personer) och i förhållandet mellan myndigheter. Uppgifter som skyddas av sekretess, t.ex. uppgifter i patientjournaler, får inte lämnas från en myndighet till en enskild eller till annan myndighet utan stöd i sekretesslagen.
Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.
Med införandet av den fria kommunala nämndorganisationen i början av 1990-talet har det blivit möjligt att organisera landstingens och kommunernas verksamheter tämligen fritt. Exempelvis kan hälso- och sjukvård delas upp mellan flera olika nämnder. Varje nämnd med underlydande förvaltning är normalt att anse som en egen myndighet i sekretesslagens mening (se t.ex. prop. 1990/91:111 s. 21). Uppgifter som skyddas av sekretess kan inte utan stöd i sekretesslagen lämnas från den ena nämnden till den andra ens om nämnderna ingår i samma landsting och båda bedriver en och samma slags verksamhet. En sekretessgräns finns även gentemot sådana aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande och som avses i 1 kap. 9 § sekretesslagen.
Den förändrade myndighetsstrukturen på det kommunala området och dess påverkan på sekretessgränserna inom ett landsting eller en kommun har uppmärksammats bl.a. i ett flertal utredningar. Ofta har pekats på att konsekvensen blivit onödiga svårigheter i informationsutbytet. Senast har OSEK utrett frågan och lämnat förslag på lösning, se nedan avsnitt 11.5.2.
Även en annan fråga har diskuterats genom åren; nämligen huruvida det finns självständiga verksamhetsgrenar och därmed sekretessgränser inom en myndighet som bara bedriver hälso- och sjukvård. Meningarna har varit delade. För en närmare redovisning av denna
diskussion hänvisas till avsnitt 12.2.3 i OSEK:s huvudbetänkande Ny sekretesslag (SOU 2003:99 s. 243 f.). Här bör dock kortfattat nämnas att diskussionen ofta tagit sin utgångspunkt i ett uttalande av Journalutredningen, som behandlade frågan i sitt huvudbetänkande Patientjournalen (SOU 1984:73 s. 77 f.). Enligt Journalutredningens bedömning bör varje klinik eller motsvarande i journal- och sekretessfrågor ses som självständiga enheter. Utredningen påtalade emellertid att det fanns oklarheter beträffande vad som utgör gällande rätt i fråga om självständiga verksamhetsgrenar inom hälso- och sjukvården och efterlyste ett auktoritativt uttalande härom i en regeringsproposition. Något sådant auktoritativt uttalande har inte kommit ännu. Däremot har i ett flertal sammanhang uttalats mer eller mindre stark tveksamhet beträffande Journalutredningens bedömning att det finns en sekretessgräns mellan olika kliniker eller motsvarande vårdenheter vid samma sjukvårdsmyndighet (se t.ex. SOU 1986:24 s. 66, JO 1986/87 s. 198, Ds 1990:11 s. 52 och prop. 1990/91:111 s. 21 f.).
OSEK för sin del bedömde att all hälso- och sjukvårdsverksamhet, såväl psykiatrisk som somatisk, inom en myndighet utgör en och samma slags verksamhet. Enligt OSEK finns alltså inga sekretessgränser mellan verksamheter som är av samma slag inom en och samma myndighet (SOU 2003:99 s. 273).
Sekretessprövningar
I 2 kap. 14 § tryckfrihetsförordningen föreskrivs att det är den myndighet som förvarar en allmän handling som skall pröva om den kan lämnas ut. Den principen gäller inte bara när det rör sig om en begäran om utfående av allmän handling med stöd av handlingsoffentligheten utan gäller så fort en sekretessgräns skall korsas. Det är således alltid den utlämnande myndigheten som måste göra en prövning enligt sekretesslagen om det finns något hinder mot att lämna ut t.ex. en journalhandling som man förvarar till en privat vårdgivare, en annan hälso- och sjukvårdsmyndighet eller en självständig verksamhetsgren inom den egna myndigheten.
Sekretesslagen hindrar i och för sig inte att sekretessbelagda uppgifter lämnas ut rutinmässigt. Inte heller finns något förbud mot att det sker via direktåtkomst. Som närmare berörts i avsnitt 8.7 finns inte någon rättslig definition av begreppet direktåtkomst trots att begreppet förekommer i flera s.k. registerlagar som reglerar olika myndigheters behandling av personuppgifter. Enligt en vedertagen
uppfattning, som också lyfts fram i flera lagförarbeten, innebär direktåtkomst en möjlighet för en (extern) mottagare att via något slag av uppkoppling på egen hand ta del av och söka efter uppgifter i en informationssamling som behandlas automatiserat (se t.ex. prop. 2000/01:33 s. 110 f.) I begreppet ligger också att den som ansvarar för uppgifterna inte har någon direkt kontroll över vilka uppgifter i informationssamlingen som mottagaren vid varje tillfälle tar del av. På grund härav – och med tanke på tryckfrihetsförordningens bestämmelse om när en upptagning är förvarad och inkommen och därmed att anse som en allmän handling – blir uppgifterna att anse som utlämnade i sekretesslagens mening redan i och med att direktåtkomsten finns, dvs. redan då uppgifterna är potentiellt tillgängliga. Det spelar således ingen roll om mottagaren faktiskt tar del av uppgifterna eller inte. Det är därför inte tillåtet för en myndighet att låta en annan myndighet eller enskild ha direktåtkomst till uppgifter i en informationssamling, om uppgifterna eller vissa av dem omfattas av sekretess som innebär att mottagaren vid en prövning inte med säkerhet skulle ha rätt att få del av dem. Direktåtkomst förutsätter således att uppgifterna är offentliga, att en prövning enligt ett skaderekvisit leder till bedömningen att uppgifterna kan lämnas ut till mottagaren eller att de kan lämnas ut med stöd av någon sekretessbrytande bestämmelse (se t.ex. prop. 2004/05:164 s. 83 f.). Det krävs alltså att den utlämnande myndigheten gör en sekretessprövning innan uppgiften förs in i den del av en informationssamling som är tillgänglig för någon utanför myndigheten.
Hälso- och sjukvårdssekretess
Uppgifter inom den offentligt bedrivna hälso- och sjukvården omfattas av sekretesslagens bestämmelser. Sekretessen inom just hälso- och sjukvården regleras i främst 7 kap.1 c–3 §§ och 6 §sekretesslagen. Enligt dessa bestämmelser gäller, med några undantag, sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om enskilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom eller henne närstående lider men. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit och presumtionen är alltså för sekretess.
Sekretessen omfattar såväl skriftliga som muntliga uppgifter om patienter eller andra personer. Om sekretess gäller för en uppgift,
får uppgiften inte röjas för enskild, andra myndigheter eller andra självständiga verksamhetsgrenar inom den egna myndigheten i andra fall än de som följer av sekretesslagen eller i en lag eller förordning till vilken sekretesslagen hänvisar.
För uppgifter i allmänna handlingar, t.ex. i patientjournaler i den allmänna hälso- och sjukvården, gäller sekretessen så länge som risken för men kvarstår, dock högst i 70 år.
Begreppet men har i sekretesslagen en mycket vidsträckt innebörd och tar framförallt sikte på olika kränkningar av den personliga integriteten som kan uppstå om uppgifter lämnas ut (prop. 1979/80:2 Del A s. 83). Med men anses sådant som att någon blir utsatt för andras missaktning om hans eller hennes personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan i många fall anses tillräcklig för att medföra men. Utgångspunkten för en bedömning av om men föreligger, är den enskildes egen upplevelse. I konsekvens med detta kan även helt rättsenliga åtgärder utgöra men. Vid bedömningen av vad som utgör men finns ett visst utrymme för att ta hänsyn till vad som enligt gängse värderingar i samhället uppfattas som men.
Vilka uppgifter som kan lämnas ut från en vårdinrättning till en vårdinrättning vid en annan myndighet efter en menprövning får bedömas i varje enskilt fall.
Enligt förarbetena till sekretesslagen står det klart att skaderekvisitet medger att uppgift lämnas över en sekretessgräns från en läkare till en annan eller från en sjukvårdsinrättning till en annan, om uppgiften behövs i rent vårdsyfte. Visst utrymme finns också för att lämna uppgift till en annan vårdsektor i syfte att bistå en patient. Mer tveksamt är det emellertid, enligt föredragande departementschef, om en uppgift kan lämnas från den allmänna sjukvården till en privatpraktiserande läkare eller en företagsläkare. För den händelse patientens samtycke till att uppgiften lämnas inte kan inhämtas, bör uppgiften ändå kunna lämnas ut om den i trängande fall behövs för medicinsk behandling av den som uppgiften rör. I sådana fall kan det knappast hävdas att patienten lider men om uppgiften lämnas ut. Med ledning av skaderekvisitet får det vidare bedömas om uppgift kan lämnas ut från t.ex. ett sjukhus om att en viss person vårdas där. Så bör normalt inte kunna ske till annan än närstående (a. prop. s. 168 f.).
JO har i ett utlåtande anfört bl.a. att i de fall man har anledning att ifrågasätta om patienten skulle anse det vara till men för honom att en journal överlämnas till annan sjukvårdsmyndighet, skall patien-
tens egen uppfattning om möjligt inhämtas. Motsätter sig patienten att journalen lämnas ut så skall detta respekteras även om vederbörande läkare anser att ett utlämnande inte är till men för patienten. Inom den frivilliga hälso- och sjukvården blir det därför inte aktuellt att göra en egentlig menprövning annat än i sådana fall där det gäller en journal med känsligt innehåll och det av praktiska skäl inte är möjligt att inhämta patientens egna önskemål. Ett önskemål från patienten om att en journal inte skall lämnas ut måste respekteras utom i rena nödsituationer (JO 1986/87 s. 198 ff.).
Möjligen är JO:s bedömning av utrymmet för att lämna ut journaler utan patientens samtycke snävare än enligt de förarbetsuttalanden som redovisats i det föregående. Man bör dock hålla i åtanke att JO:s uttalanden gjordes i anledning av ett särskilt fall av utlämnande i strid mot en patients klart uttalade vilja om att journalen inte fick lämnas ut samt att JO i sin bedömning beaktade bestämmelser i hälso- och sjukvårdslagen. Det är tveksamt vilken bäring förarbetsuttalandena har i fråga om menprövning i ett sådant fall. OSEK har emellertid ifrågasatt om de ovan redovisade förarbetsuttalandena till sekretesslagen verkligen kan anses vara i överensstämmelse med innebörden av det omvända skaderekvisitet (SOU 2003:99 s. 291 f.). Rättsläget får bedömas som oklart.
I 7 kap. 1 c § sista stycket första meningen sekretesslagen finns ett undantag från den annars gällande presumtionen för sekretess. Där föreskrivs att en myndighet i landsting eller kommun som bedriver hälso- och sjukvårdsverksamhet får lämna uppgifter till en annan sådan myndighet för ändamålen forskning och framställning av statistik eller för administration på verksamhetsområdet med tillämpning av ett s.k. rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. För sekretess skall det kunna antas att den enskilde eller dennes närstående lider men om uppgiften röjs.
Det raka skaderekvisitet innebär enligt förarbetena att menbedömningen kan göras inom ganska vida ramar (a. prop. s. 80). Avsikten är att bedömningen som regel skall göras med utgångspunkt i själva uppgiften och således inte behöver knytas till en menbedömning i det enskilda fallet. Avgörande för om sekretess gäller eller inte är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som skall skyddas genom en sekretessbestämmelse. Är uppgiften sådan att den genomsnittligt sett måste betraktas som harmlös, skall den normalt sett vara offentlig. Om uppgiften å andra sidan är av sådant slag att
den lätt kan komma att missbrukas, skall den som regel omfattas av sekretess.
Lättnaden i 7 kap. 1 c § sista stycket första meningen i den annars starka hälso- och sjukvårdssekretessen infördes år 1991 bl.a. för att utöka möjligheterna till automatiserat och rutinmässigt uppgiftsutbyte mellan myndigheter med gemensamt verksamhetsområde (prop. 1990/91:111 s. 25 f.), t.ex. i olika gemensamma ADB-register. I förarbetena angavs att det omvända skaderekvisit förutsätter att skadeprövning i regel sker i varje enskilt fall då en uppgift lämnas ut över en sekretessgräns. Sådant rutinmässigt uppgiftsutlämnande som sker mellan de aktuella myndigheterna inom hälso- och sjukvården för ändamålen forskning, framställning av statistik eller administration, bör däremot bygga på en mer generell skadeprövning enligt ett rakt skaderekvisit. I förarbetena angavs att integritetsfrågan bör beaktas i första hand när man bestämmer vilka slags uppgifter som skall tillföras ett visst register. Frågan får då bedömas med hänsyn till bl.a. uppgifternas art, det sekretesskydd uppgifterna kommer att få hos mottagaren samt den tekniska utformningen av informationssystemet (behörighetskontroller m.m.). Den generella bedömningen hindrar givetvis inte att man kan göra en skadeprövning även i ett särskilt fall, om särskilda omständigheter föranleder det (a. prop. s. 31). Även den enskildes egen inställning och de ändamål för vilka uppgifterna kan komma att användas för angavs som omständigheter att beakta vid skadeprövningen (s. 36).
Begränsningar i sekretessen
I sekretesslagen finns särskilda undantagsbestämmelser som innebär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Vissa bestämmelser är generellt utformade. Exempelvis framgår av 1 kap. 5 § sekretesslagen att sekretess inte hindrar att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Enligt förarbetena skall bestämmelsen tillämpas restriktivt och den kan inte åberopas för att hjälpa en annan myndighet att fullgöra sin verksamhet (prop. 1979/80:2 Del A s. 465 och 494).
I 7 kap. 1 c § sista stycket sista meningen sekretesslagen finns en undantagsbestämmelse som enbart omfattar hälso- och sjukvårdssekretessen. Det gäller utlämnande till enskild enligt vissa angivna lagar som har det gemensamt att lättnaden i sekretessen motiverats
av hänsyn till den mottagande personens starka och berättigade intresse av att få del av informationen.
I 14 kap. 1 § sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. På hälso- och sjukvårdens område finns bestämmelser om sekretessbrytande uppgiftsskyldighet i många författningar. Exempel härpå är smittskyddslagen (2004:168) vari behandlande läkare m.fl. ålagts en anmälningsplikt till smittskyddsläkare av vissa sjukdomar. Anmälningsplikten innebär att intresset för enskildas personliga integritet för uppgifter om sina personliga förhållanden har fått ge vika för det allmänna intresset av effektivt smittskydd. Som andra exempel på uppgiftsskyldighet på hälso- och sjukvårdens område kan nämnas bestämmelserna i 2 kap. 11 § lagen om yrkesverksamhet på hälso- och sjukvårdens område som föreskriver en skyldighet att på begäran lämna ut uppgifter om huruvida någon vistas på en sjukvårdsinrättning till domstol, åklagare m.fl. myndigheter samt skyldigheten att lämna ut uppgifter som behövs av olika myndigheter för vissa särskilda ändamål. Ett annat exempel är 14 kap. 1 § socialtjänstlagen (2001:453) vari föreskrivs en skyldighet att anmäla förhållanden som kan innebära att en socialnämnd behöver ingripa till ett barns skydd.
I 14 kap. 2 § sekretesslagen finns särskilda bestämmelser om undantag från sekretess för uppgifter som mottagande myndighet behöver för vissa ändamål. Enligt ett av undantagen hindrar hälso- och sjukvårdssekretess inte att uppgift om en underårig eller om någon som fortgående missbrukar alkohol m.fl. berusningsmedel eller närstående till denne lämnas till annan myndighet inom hälso- och sjukvården eller socialtjänsten, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om uppgift om en gravid kvinna eller hennes närstående, om det behövs till skydd för det väntade barnet. Syftet med undantagsbestämmelsen är att vårdmyndigheterna inte skall vara förhindrade att utbyta uppgifter med varandra när de behöver samverka med varandra eller annars utbyta information för att bistå en enskild som är i behov av vård, behandling eller annat stöd. Enligt förarbetena måste undantaget användas med urskillning och varsamhet. Endast i situationer där det framstår som direkt påkallat att bistå en enskild bör undantag göras. Normalt bör en förutsättning vara att den berörde personen kan antas direkt motsätta sig att uppgifter lämnas ut eller att saken brådskar så att det inte finns tid att inhämta samtycke. I första hand bör därför ett samtycke utverkas (prop. 1990/91:111 s. 40 f.).
På de flesta andra områden men inte inom området för hälso- och sjukvårdssekretessen gäller dessutom den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Den innebär att en sekretessbelagd uppgift får lämnas från en myndighet till en annan efter en intresseavvägning, nämligen om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen skall skydda. Skälet till att myndigheter inom hälso- och sjukvården inte får lämna ut uppgifter till andra myndigheter efter en intresseavvägning är att vården bygger på att den enskilde skall känna förtroende för dem som har hand om vården. En konsekvens är att samråd med andra myndigheter i princip inte skall ske utan den enskildes samtycke (a. prop.).
Hälso- och sjukvårdssekretessen gäller, med ett undantag, inte i förhållande till den enskilde själv, se 7 kap. 3 § och 14 kap. 4 §sekretesslagen. Av undantaget följer att sekretess gäller i förhållande till en patient för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till patienten (7 kap. 3 §). Det kan också nämnas att det i patientjournaler m.m. kan finnas uppgifter om patientens hälsotillstånd eller andra personliga förhållanden som lämnats i anmälan eller annan utsaga från annan person än patienten. Även sådana uppgifter kan enligt 7 kap. 6 § sekretesslagen omfattas av sekretess i förhållande till patienten, om det kan antas att fara uppkommer för att den som har lämnat uppgifterna eller dennes närstående utsätts för våld eller annat allvarligt men om uppgifterna röjs. Det är alltså bara i speciella undantagsfall som journalhandlingar eller annan vårddokumentation inte kan lämnas ut till patienten själv.
Den enskilde kan också efterge sekretessen helt eller delvis. Något krav på att en eftergift, dvs. ett samtycke, skall vara skriftligt eller på något annat sätt uttryckligt finns inte. Även tyst, s.k. presumerat, samtycke kan godtas.
Tystnadsplikt inom den privata vården
Enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt
röjande anses inte att någon fullgör uppgiftsskyldighet som följer av lag eller förordning.
Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i sekretesslagens bestämmelser. Det är ju en rimlig ståndpunkt att den enskilde skall åtnjuta samma skydd för sin personliga integritet vare sig han eller hon behandlas av en offentlig eller privat vårdgivare.
11.5.2. OSEK:s förslag
I huvudbetänkandet Ny sekretesslag (SOU 2003:99) har OSEK lämnat förslag till en ny sekretesslag.
I betänkandet behandlas flera frågor om sekretessgränser inom och mellan myndigheter som har betydelse för hälso- och sjukvårdssekretessen.
Ett förslag är att det direkt av sekretesslagen skall framgå vilka sekretessgränser som gäller på hälso- och sjukvårdens område. Enligt OSEK är förslaget i denna del en författningsreglering av nu gällande rätt på området, se ovan. I lagförslaget införs således en bestämmelse som fastslår att det inte finns några sekretessgränser beträffande hälso- och sjukvård som bedrivs inom en och samma myndighet. Enligt OSEK utgör all hälso- och sjukvård och annan medicinsk verksamhet som anges i 7 kap. 1 c § sekretesslagen verksamhet av samma slag.
Vidare föreslår OSEK att det skall framgå av lagen när det inte skall finnas någon sekretessgräns mellan olika verksamheter som bedrivs integrerat eller i gemensamma nämnder. Enligt lagförslaget skall det alltså inte finnas någon sekretessgräns inom en nämnd mellan den kommunala hälso- och sjukvården enligt 18 § första stycket hälso- och sjukvårdslagen och sådan socialtjänst som anges i 5 kap. 5 § andra stycket eller 7 § tredje stycket socialtjänstlagen. Den bestämmelsen skulle bli tillämplig t.ex. i en kommunal nämnd vari man samverkar på grund av den s.k. Ädelreformen.
Härutöver föreslås att det inte skall finnas någon sekretessgräns mellan nämnderna i en kommun eller ett landsting till den del verksamheterna är av samma slag. Liksom när det gäller inom en myndighet räknas all hälso- och sjukvård samt annan medicinsk verksamhet som verksamhet av samma slag.
När det gäller uppgiftsutbyte mellan och inom vård- och omsorgsområdena föreslås en begränsning av sekretessen som innebär en ut-
vidgning av 14 kap. 2 § sjätte stycket i den nuvarande sekretesslagen. Enligt OSEK:s förslag skall sekretess inte hindra att uppgifter om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården eller socialtjänsten till en annan sådan myndighet eller till privat vårdgivare eller privat verksamhet på socialtjänstens område. OSEK har som skäl till de utökade möjligheterna anfört att det av patientsäkerhetsskäl är väsentligt att nödvändiga uppgifter om en patient finns tillgängliga vid ett vårdtillfälle även då patientens samtycke inte kan inhämtas eller patienten motsätter sig att uppgifter lämnas ut (a. bet. s. 296 f.). Enligt OSEK är förslaget ett undantag från det sekretesskydd som den enskilde har enligt sekretesslagen som måste användas med urskillning och varsamhet. I första hand bör samtycke även fortsättningsvis utverkas.
Slutligen skall här nämnas att OSEK föreslår att det införs en bestämmelse i sekretesslagen som reglerar den inre sekretessen inom en myndighet. Förslaget innebär att om det kan antas att en sekretessreglerad uppgift inte får lämnas ut från ett sekretessområde, får uppgiften inte heller röjas inom sekretessområdet om det är uppenbart obehövligt för verksamheten. Bestämmelsen föreslås vara straffsanktionerad som brott mot tystnadsplikt eller sekretessbrott enligt 20 kap. 3 § brottsbalken. Förslaget redovisas mer utförligt i avsnitt 12.3.
11.5.3. Våra överväganden
Redan då vårddokumentation förs in i den sammanhållna journalföringen utan att spärras, så att den är potentiellt tillgänglig för andra vårdgivare eller myndigheter, sker ett utlämnande i tryckfrihetsförordningens och sekretesslagens mening. Redan i detta skedet, skede 1, måste alltså en myndighet som för in uppgifter göra en prövning av om det finns något hinder enligt sekretesslagen mot att uppgifterna lämnas ut till samtliga mottagare som har tillgång till uppgifterna.
Genom förslaget att vårddokumentationen skall få göras tillgänglig om den enskilde inte motsätter sig det, råder i praktiken en presumtion för att uppgifterna får lämnas ut. Det kräver dock, som nyss framgått, att sekretesslagstiftningen inte hindrar utlämnandet. Hälso- och sjukvårdssekretessen med sitt omvända skaderekvisitet förutsätter emellertid en prövning i varje särskilt fall av om vårddokumentationen kan lämnas ut utan men för den enskilde eller
någon närstående till honom eller henne. Vidare kan, som framgått av det föregående, utlämnande efter en sådan särskild menprövning normalt bara göras till en mottagare som har ett konkret vårdsyfte. I den sammanhållna journalföringen förutsätts emellertid utlämnandet – dvs. tillgängliggörandet i systemet för sammanhållen journalföring – ske i det närmaste rutinmässigt. Uppgifterna lämnas också ut till ett kanske större antal anslutna vårdgivare beträffande vilka det är högst osäkert vem eller vilka av dem som kommer att ha ett faktiskt behov av uppgifterna. Hälso- och sjukvårdssekretessen utgör således ett hinder mot sammanhållen journalföring.
Inte heller är de sekretessbrytande undantagen som behandlats i det föregående möjliga att rutinmässigt tillämpa då uppgifter lämnas ut vid sammanhållen journalföring; något som framgår av vår bedömning i det följande.
Det utlämnande som sker då journaluppgifter förs in i ett system för sammanhållen journalföring utan att spärras motiveras inte annat än möjligtvis i undantagsfall av att det skulle vara nödvändigt för den utlämnande myndighetens behov. Undantagsbestämmelsen i 1 kap. 5 § sekretesslagen ger alltså inte stöd för den sammanhållna journalföringen. Inte heller finns det någon sådan uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen som legaliserar utlämnandet till andra myndigheter inom hälso- och sjukvården. Tillämpningsområdet för undantagsfallen i 14 kap. 2 § sekretesslagen är otillräckligt för den sammanhållna journalföringen och generalklausulen i 14 kap. 3 § sekretesslagen är över huvud taget inte tillämplig på hälso- och sjukvårdens område.
Det sekretessbrytande undantag i gällande rätt som det ligger närmast till hands att åberopa vid sammanhållen journalföring är bestämmelsen i 14 kap. 4 § sekretesslagen om att den enskilde kan efterge sekretessen. Som framgått av avsnitt 11.3 får ett utlämnande av journalinformation inte ske genom tillgängliggörande i den sammanhållna journalföringen, om patienten motsätter sig det. Det sekretessproblem som nu är i fråga rör således bara icke spärrad information. Vi har därför frågat oss om det innebär ett tyst samtycke till utlämnande när patienten inte motsätter sig att uppgifterna görs tillgängliga i den sammanhållna journalföringen; ett samtycke som skulle kunna godtas som en eftergift av sekretessen enligt 14 kap. 4 § sekretesslagen.
Vi bedömer emellertid att patienten normalt kommer att göra ett passivt val som är alltför oklart och generellt för att kunna godtas som en sådan eftergift av sekretessen som avses i 14 kap. 4 § sek-
retesslagen. I sammanhanget måste beaktas att patientens ”samtycke” ofta är villkorat på så sätt att han eller hon gör valet utifrån vetskapen om att i ett senare skede, skede 2, kunna kontrollera vilken vårdgivare som tar del av uppgifterna. Vidare kan efter det att journaluppgifterna förts in, flera vårdgivare komma att anslutas till den sammanhållna journalföringen och få tillgång till uppgifterna. För tilltron till informationsutbytet är det av fundamental betydelse att det rättsliga stödet för detta inte kan sättas i fråga.
Som inledningsvis sagts måste sekretessprövningen göras redan då den journalförande vårdgivaren för in en uppgift i en journalhandling, om den därigenom blir tekniskt tillgänglig för andra vårdgivare i den sammanhållna journalföringen. Att en patient måhända i ett senare skede, skede 2, samtycker till att en annan vårdgivare tar del av uppgiften genom att slå fram uppgiften, kan alltså inte ha någon sekretessbrytande verkan enligt 14 kap. 4 § sekretesslagen, eftersom uppgiften redan är att anse som utlämnad i skede 1.
Sammanfattningsvis krävs ändringar i sekretessregleringen för att sammanhållen journalföring skall kunna ske.
Vi vill framhålla att avsikten inte är att föreslå en ändrad sekretessreglering som ger enskilda ett försämrat integritetsskydd jämfört med dagens förhållanden. Vi menar att lättnader i sekretessen för att möjliggöra sammanhållen journalföring måste ses tillsammans med den öviga reglering som vi föreslår i bl.a. avsnitt 11.3. Att se sekretessförslaget på detta sätt är, menar vi, naturligt med tanke på att syftet med de övriga förslagen är detsamma som med hälso- och sjukvårdssekretessen; att skydda enskildas personliga integritet. Av betydelse i sammanhanget är också att vårt förslag i det följande bara tar sikte på uppgiftsutbytet mellan de vårdgivare som är anslutna till ett system för sammanhållen journalföring. Gentemot myndigheter och enskilda utanför denna krets gäller en oförändrad hälso- och sjukvårdssekretess för den vårddokumentation som är tillgänglig i ett system för sammanhållen journalföring.
En särskild fråga är hur vi lämpligen skall förhålla oss till OSEK:s olika förslag. OSEK:s förslag bereds för närvarande i Regeringskansliet. Enligt underhandsbesked kommer troligen inte något av de delförslag som redovisats här att leda till propositionsförslag under år 2006. När en proposition sedan kan komma att behandlas i riksdagen är osäkert. Det är sannolikt att det i vart fall kommer att dröja några år innan en ny sekretesslag kan träda i kraft. I våra överväganden utgår vi därför från att sekretessgränser m.m. förblir oförändrade
och att den nuvarande sekretesslagen kommer att gälla under de närmaste åren.
Det bör emellertid framhållas att vi ansluter oss till OSEK:s bedömning att det inte finns några sekretessgränser mellan olika hälso- och sjukvårdsverksamheter (samt annan medicinsk verksamhet som avses i 7 kap. 1 c § första stycket andra meningen sekretesslagen) som bedrivs inom samma myndighet.
Vidare konstaterar vi att OSEK:s förslag till utvidgning av den reglering som i dag finns i 14 kap. 2 § sjätte stycket sekretesslagen, se ovan, inte undanröjer sekretessproblemen när det gäller den sammanhållna journalföringen. Det sammanhänger främst med svårigheterna att när en journaluppgift görs tillgänglig utan att spärras, pröva om rekvisiten för det sekretessbrytande undantaget är uppfyllda. I princip blir som påpekats ett flertal gånger en icke spärrad uppgift utlämnad till alla de vårdgivare där det finns någon befattningshavare som har teknisk möjlighet att bereda sig tillgång till informationen. Normalt torde inte i det läget alla anslutna myndigheter kunna bedömas behöva varje införd uppgift för kunna ge den enskilde nödvändig vård och behandling. Som framgått i det föregående är den av OSEK föreslagna bestämmelsen också avsedd att tillämpas i enskilda fall och efter särskild prövning då i det konkreta fallet problem uppstår på grund av att den enskilde inte kan tillfrågas om sin inställning eller den enskilde motsätter sig att uppgifter lämnas ut trots att den mottagande sjukvårdsmyndigheten eller privata vårdgivaren har ett direkt påkallat behov av uppgiften för att kunna ge nödvändig vård eller behandling.
Återigen kan påpekas att övervägandena i det följande enbart tar sikte på det sätt som utlämnande sker på, dvs. elektroniskt utlämnande genom andra vårdgivares direktåtkomst till uppgifter i vårddokumentation som inte spärrats på patientens önskemål.
För spärrade journaluppgifter gäller de ordinära bestämmelserna då fråga om utlämnande uppkommer. Detsamma gäller då fråga uppkommer om utlämnande av ospärrade uppgifter för andra syften eller i andra situationer än vad bestämmelserna om sammanhållen journalföring tillåter. I sådana fall får alltså en sekretessprövning göras i det enskilda fallet på samma sätt som i dag krävs. Som framgått av redovisningen i avsnitt 11.5.1 behöver den nuvarande sekretessregleringen inte alltid utgöra hinder mot annat slag av utlämnande även om patienten motsätter sig ett utlämnande eller inte kan tillfrågas. Något absolut förbud att lämna ut spärrade uppgifter är alltså inte inbyggt i våra förslag i avsnitt 11.3, bara ett förbud mot
ett visst sätt att lämna ut dem, dvs. genom att låta dem ingå i ett elektroniskt informationssystem som mottagaren har direktåtkomst till. I avsnitt 14 återkommer vi till frågor om bl.a. vissa lättnader i sekretessen i det individinriktade patientarbetet vid sidan av utbytet genom direktåtkomst i system för sammanhållen journalföring. De frågor som behandlas i avsnitt 14 har betydelse även för utbyte mellan vårdgivare av spärrad vårddokumentation.
Diskuterade men bortvalda lösningar
Som framgått i det föregående anser vi det nödvändigt att införa lättnader i eller undantag från sekretessen för att sammanhållen journalföring mellan flera vårdgivare skall kunna ske i enlighet med våra förslag. Vi har diskuterat flera olika lösningar.
Till en början har vi diskuterat lämpligheten i att införa sekretessbrytande undantag i någon av de tre första paragraferna i 14 kap. sekretesslagen. Dessa bestämmelser reglerar emellertid endast sekretessgenombrott i uppgiftsutbyte mellan myndigheter. I en sammanhållen journalföring kan dock komma att ingå också privata vårdgivare. Att utvidga någon av bestämmelserna i 14 kap. 1–3 §§ till att omfatta utlämnande till enskild ter sig ur lagstiftningsteknisk synvinkel som en mindre lämplig väg att gå, inte minst med tanke på att en sådan systematisk nyordning endast omfattar behov hos en – i förhållande till samhällets totala offentliga verksamhet – så pass begränsad verksamhet som sammanhållen patientjournalföring faktiskt kommer att utgöra under överskådlig tid. Det kan nämnas att OSEK:s förslag till utvidgning av nuvarande 14 kap. 2 § är inarbetad i en total omstrukturering av sekretesslagen. Även andra skäl talar mot sekretessbrytande undantag enligt 14 kap 1–3 §§.
Såsom framhållits i tidigare avsnitt bygger våra förslag om sammanhållen journalföring på att den skall ske genom frivillig samverkan mellan vårdgivare, där det naturligen från fall till fall bör bedömas utifrån ett flertal aspekter vilken omfattning sådan samverkan bör ha. Vilka vårdgivare skall ingå? Skall samarbetet avse bara ett visst område såsom vaccinationer eller bara vårdkedjan mellan sjukhus, primärvård och den kommunala vården? Skall det bara avse viss på förhand utvald medicinsk basinformation såsom läkemedelsordinationer, provsvar och diagnoser m.m.? Sådana överväganden bör rimligen överlämnas till vårdgivarna själva att inom ramen för regleringen i övrigt bestämma. Ett sekretessgenombrott enligt 14 kap.
1 § sekretesslagen genom uppgiftsskyldighet är därför ingen lämplig lösning.
Inte heller menar vi att det är lämpligt att göra ett tillägg i 14 kap. 2 § sekretesslagen. Den paragrafen reglerar generellt sett endast sekretessbrytande undantag i situationer där mottagarens starka behov av just de ifrågavarande uppgifterna för speciella ändamål motiverat undantagen. I den sammanhållna journalföringen handlar det – i utlämnandeskedet då uppgifterna görs tillgängliga – mer om de olika vårdgivarnas generella behov av tillgång till andra vårdgivares uppgifter i händelse av framtida patientkontakter. Närmare vilka uppgifter som kommer att behövas i konkreta fall går knappast att bedöma när uppgifter journalförs eller annars registreras utan att spärras.
Att genom en särbestämmelse låta generalklausulen i 14 kap. 3 § sekretesslagen bli tillämplig vid sammanhållen journalföring med ett bibehållet omvänt skaderekvisit ter sig som en klart olämplig lösning. Ett omvänt skaderekvisit förutsätter en individuell bedömning med utgångspunkt i den berörda personens egen upplevelse. Ett rutinmässigt utlämnande efter generella intresseavvägningar bör inte förekomma med stöd av 14 kap. 3 § sekretesslagen.
Ett alternativ som vi övervägt är en särbestämmelse om att uppgifter skall få lämnas ut vid sammanhållen journalföring med tillämpning av ett rakt skaderekvisit. Det skulle innebära att en presumtion för att journalhandlingar m.m. får göras tillgängliga för andra vårdgivare i den sammanhållna journalföringen. Endast om men kan antas, skulle sekretessen utgöra ett hinder. En sådan modell skulle i första hand få betydelse då sammanhållen journalföring etableras och man väljer ut vilken typ av vårddokumentation som skall göras tillgänglig. Typiskt sett mera känsliga uppgifter skulle inte kunna ingå i den sammanhållna journalföringen. För de uppgifter som inte är typiskt känsliga, skulle dock sekretessbedömningar i enskilda fall kunna medföra att en uppgift måste spärras, även om patienten inte begär det.
I sin rapport Omfattningen av administration i vården från år 2000 föreslog Socialstyrelsen att en sekretessbestämmelse med ett rakt skaderekvisit generellt skulle införas sinsemellan hälso- och sjukvårdens verksamheter. Förslaget syftade till att komma till rätta med de faktiska eller upplevda hindren för ett befogat och även från patienternas sida önskvärt informationsutbyte i hälso- och sjukvården. En sådan bestämmelse skulle främst underlätta uppgiftsutbyte inom den somatiska vården. När det gäller den psykiatriska vården och vissa särskilt integritetskänsliga delar av den somatiska vården
anförde Socialstyrelsen att man mera sällan torde kunna utgå ifrån att uppgifter kan föras över till annan sjukvårdsverksamhet utan men för patienten (rapporten s. 67).
Visserligen skulle ett rakt skaderekvisit innebära en lättnad i sekretessen som skulle tillåta mycket av det uppgiftsutbyte som en sammanhållen journalföring syftar till. Vi befarar emellertid att denna lösning skulle medföra betydande tillämpningsproblem. Kan man anta men även då en patient inte aktivt kräver spärrning? I så fall när och i fråga om vilka slags uppgifter eller vilka slags patienter? Det finns en klar risk att ett rakt skaderekvisit leder till stor osäkerhet hos många journalförande yrkesutövare som dagligen skall tillämpa bestämmelsen. Den typen av bedömningar skulle kunna upplevas som krångliga och därmed faktiskt innebära ett merarbete för personalen; något som måste undvikas om den sammanhållna journalföringen skall ge önskade vinster. Ytterligare skäl mot den lösningen är risken för en inkonsekvent tillämpning präglad av olika journalförares mer eller mindre personliga uppfattningar om saken. Vi har därför valt bort denna modell.
Vald lösning; sekretessbrytande undantag i 7 kap. sekretesslagen
Den lösning som vi slutligen stannat för är att införa ett undantag från sekretessen när det gäller utlämnande av annars sekretessbelagd uppgift till andra myndigheter inom hälso- och sjukvården och privata vårdgivare genom det potentiella tillgängliggörande som sammanhållen journalföring innebär. Någon sekretessbedömning behöver alltså inte göras vid den dagliga journalföringen utan enbart en prövning av om den förutsättning som anges i patientdatalagen är uppfylld, dvs. att patienten inte motsätter sig utlämnandet. Vi menar att det är den lösning som leder till minst tillämpningsproblem för hälso- och sjukvården och som bäst främjar effektiviteten i verksamheten och en ökad patientnytta.
Vidare menar vi att det inte finns något bärande skäl från integritetssynpunkt mot denna lösning, eftersom förslaget skall ses tillsammans med våra förslag till integritetsgarantier i patientdatalagen. Patienten ges enligt våra förslag en ovillkorlig rätt att i förväg bestämma över den potentiella spridningen (skede 1). Dessutom ges patienten en rätt att – frånsett nödsituationer och liknande – bestämma över den faktiska spridningen, då patienten vid senare vårdtillfällen får inflytande över om personal skall få eller inte få
titta på ospärrad information (skede 2). Till detta kommer bl.a. de förslag som kommer att presenteras i det följande om patientens rätt att kontrollera vilken åtkomst som faktiskt förekommit till vårddokumentationen (se avsnitt 12). Därigenom kommer patienten också att kunna kontrollera vilka andra vårdgivare som utnyttjat sin direktåtkomst till att ta del av uppgifter om honom eller henne. Enligt vår uppfattning ger dessa bestämmelser sammantaget ett fullgott integritetsskydd som klart uppväger den föreslagna lättnaden i sekretessen.
Något om utlämnande från privata vårdgivare
Sekretesslagen gäller bara för den allmänna hälso- och sjukvården. Inom enskild hälso- och sjukvård, dvs. hos privata vårdgivare, gäller enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område att personal har tystnadsplikt. Tystnadsplikten innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden. Som tidigare nämnts har det vid tolkningen av detta obehörighetsrekvisit ansetts naturligt att söka ledning i sekretesslagens regler. Med tanke på den föreslagna bestämmelsen i sekretesslagen samt på att regleringen i patientdatalagen anger förutsättningarna för den sammanhållna journalföringen, anser vi att tystnadsplikten i den enskilda hälso- och sjukvården inte utgör något hinder mot deltagande i sammanhållen journalföring. Någon motsvarande särbestämmelse i lagen om yrkesverksamhet på hälso- och sjukvårdens område som den föreslagna nya bestämmelsen i 7 kap. sekretesslagen behövs alltså inte.
Lagteknisk lösning
Det ligger nära till hands att införa den föreslagna bestämmelsen om sekretessbrytande undantag i samma paragraf som reglerar hälso- och sjukvårdssekretessen, dvs. i 7 kap. 1 c § sekretesslagen. Paragrafen har emellertid sedan sekretesslagens ikraftträdande år 1981 ändrats vid ett antal tillfällen. Genom olika ändringar har paragrafen kommit att bli förhållandevis omfattande och svårtillgänglig. I senare delar av detta betänkande kommer vi att föreslå ett par ytterligare sekretessbrytande undantag från hälso- och sjukvårdssekretessen enligt paragrafens första stycke. För att inte ytterligare tynga 7 kap. 1 c §
med dessa bestämmelser, föreslår vi att en ny paragraf, 7 kap. 1 d §, införs i sekretesslagen vari våra förslag till sekretessbrytande undantag från hälso- och sjukvårdssekretessen tas in.
Av systematiska skäl anser vi att de nuvarande sekretessbrytande undantagen i 7 kap. 1 c § från sekretessen enligt första stycket flyttas till den nya paragrafen. Därmed samlas samtliga sekretessbrytande undantagen från hälso- och sjukvårdssekretessen enligt första stycket i en paragraf som i ordning kommer direkt efter 7 kap. 1 c §.
De undantag som flyttas finns i dag i 7 kap. 1 c § femte stycket andra meningen. Där föreskrivs att uppgift som omfattas av sekretess enligt första stycket får utan hinder av sekretessen lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.
11.6. Personuppgiftsansvar vid sammanhållen journalföring
Vårt förslag: Även vid sammanhållen journalföring skall patientdatalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Regeringen får dock meddela föreskrifter om personuppgiftsansvar när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.
Vi har i avsnitt 8.3 föreslagit att varje vårdgivare (dvs. myndighet inom hälso- och sjukvården eller privat vårdgivare) skall vara personuppgiftsansvarig för den behandling av personuppgifter som den utför. Vid sammanhållen journalföring uppkommer frågor om hur personuppgiftsansvaret fördelas mellan de samarbetande vårdgivarna och om det behövs en särreglering av personuppgiftsansvaret vid sådant samarbete.
När det gäller innebörden av personuppgiftsansvar hänvisas till redogörelsen i avsnitt 8.3. Utöver vad som framgår där kan nämnas att vid sidan av den personuppgiftsansvarige – med personal och andra som under den personuppgiftsansvariges direkta ansvar behandlar personuppgifter – kan det finnas ett personuppgiftsbiträde som är involverat i samma personuppgiftsbehandling. Med personuppgifts-
biträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning (3 § personuppgiftslagen).
Ett personuppgiftsbiträde ingår inte i en personuppgiftsansvarigs egen organisation utan är anlitad utifrån. Enligt 30 § personuppgiftslagen skall det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet skall det särskilt föreskrivas dels att biträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige, dels att personuppgiftsbiträdet är skyldigt att vidta sådana säkerhetsåtgärder som avses i 31 § första stycket samma lag. Det åligger den personuppgiftsansvarige att förvissa sig om att personuppgiftsbiträdet kan genomföra och verkligen genomför dessa säkerhetsåtgärder. Den personuppgiftsansvarige kan således överlåta den faktiska behandlingen av personuppgifter, men personuppgiftsansvaret kan inte överlåtas. Det är alltid den personuppgiftsansvarige som ytterst ansvarar för att personuppgiftsbehandlingen sker lagenligt och som alltså kan bli skadeståndsskyldig gentemot en enskild vid biträdets felaktiga hantering. Det är en annan sak att biträdet i motsvarande mån kan bli skadeståndsskyldigt gentemot sin uppdragsgivare på grund av avtalsrättsliga principer.
11.6.1. Flera möjliga personuppgiftsansvariga
Då personuppgifter behandlas gemensamt eller för fleras organs gemensamma räkning, kan man fråga sig vem eller vilka möjliga organ som är personuppgiftsansvariga. Något hinder mot att personuppgiftsansvaret är gemensamt finns inte.
När det gäller personuppgiftsansvarets fördelning vid gemensam personuppgiftsbehandling kan framhållas att någon praxis i form av vägledande domstolsavgöranden inte har bildats sedan personuppgiftslagen trädde i kraft år 1998. Däremot finns en del vägledande uttalanden i förarbeten och av Datainspektionen vilka här kort redovisas.
Datalagskommittén anförde bl.a. att den som t.ex. via ett nätverk har åtkomst till och kan läsa och söka bland personuppgifter utan självständig rätt att ändra, komplettera eller radera uppgifterna normalt inte bör anses vara personuppgiftsansvarig (SOU 1997:39 s. 288). Samma ståndpunkt har Datainspektionen framfört i ett informationsblad om personuppgiftsansvar (Datainspektionen, november 1999, se även Öman och Lindblom; Personuppgiftslagen – En kommentar,
Stockholm 2001, andra upplagan, s. 56 f.). Direktåtkomst till en uppgiftssamling genererar alltså inte med automatik något personuppgiftsansvar för sådan personuppgiftsbehandling som man faktiskt utför då man använder direktåtkomsten.
I sammanhanget kan nämnas att Datainspektionen i ett samrådsyttrande i januari 2005 på hälso- och sjukvårdens område gjort ett uttalande i fråga om eget eller gemensamt personuppgiftsansvar. Samrådet gällde en förfrågan från Landstinget i Värmland angående den för landstinget och kommunerna i landstingsområdet gemensamma Vårdkatalogen; ett IT-system som innehåller uppgifter om landstingets och kommunernas personal. Till saken hör att Vårdkatalogen administreras av landstinget. Enligt Datainspektionen talar mycket för att varje arbetsgivare är personuppgiftsansvarig för sin del, dvs. för behandlingen av personuppgifter om den egna personalen, i vart fall om det varit upp till arbetsgivaren att bestämma att personalen skall ingå i katalogen och om det enbart är arbetsgivaren som har rätt att självständigt ändra, komplettera eller radera personuppgifter om den egna personalen. Enligt Datainspektionen är landstinget personuppgiftsbiträde åt kommunerna, om Vårdkatalogen finns i landstingets databas. För det fall alla kan påverka informationsinnehållet, skulle det dock kunna vara fråga om ett gemensamt personuppgiftsansvar för landstinget och kommunerna.
Frågan om personuppgiftsansvar vid myndighetsgemensam personuppgiftsbehandling har tagits upp i flera förarbeten till registerlagstiftning. Frågan har inte alltid lösts på samma sätt. Av uttalanden i nyare förarbeten kan de redovisas som gäller personuppgiftsbehandlingen inom socialförsäkringens administration (prop. 2002/03:135 s. 52 f.).
Regeringen anförde här att det inte är ändamålsenligt att i lag i detalj specificera vem som skall vara personuppgiftsansvarig för alla de olika typer av behandlingar som kan tänkas förekomma inom socialförsäkringens administration. Särskilt gäller detta de mer komplexa förhållanden som råder vid myndighetsgemensam användning av de stora register som ingår i socialförsäkringsdatabasen. I stället bör personuppgiftsansvaret fördelas genom en regel av mer övergripande karaktär som tar sikte på den myndighet som utför en viss behandling. Enligt regeringen är det den enskilda behandlingen som skall utgöra grunden för fördelningen av personuppgiftsansvaret. Regeringen fortsatte enligt det följande.
Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet.
För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behandlingar som utförs. Förslaget om fördelning av personuppgiftsansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling.
I övergripande frågor, såsom ansvar för att tekniska eller organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig systemägare för Riksförsäkringsverkets och försäkringskassornas gemensamma IT-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor. Enligt regeringens uppfattning innebär det lämnade förslaget i princip ett sådant “gemensamt” personuppgiftsansvar som ett flertal försäkringskassor efterlyst. Att införa en bestämmelse som innefattar begreppet “gemensamt personuppgiftsansvar” är dock inte i sig ägnat att bringa större klarhet rörande fördelningen av personuppgiftsansvaret eftersom det i enlighet med vad som anförts ovan i själva verket är så att personuppgiftsansvaret splittras upp på de olika myndigheterna. Enligt regeringens uppfattning bör personuppgiftsansvaret i stället fördelas utifrån en bestämmelse som tar sikte på vilken myndighet som utför en behandling av personuppgifter.
I 6 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration föreskrivs följaktligen att en myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Likartade regleringar och förarbetsuttalanden finns på andra områden, exempelvis inom kronofogdemyndigheternas verksamhet och i den arbetsmarknadspolitiska verksamheten (prop. 2000/01:33 s. 97 f. och prop. 2001/02:144 s. 21 f.).
Inom socialtjänsten har i stället den modellen valts att inget sägs om personuppgiftsansvaret i den särskilda registerlagen – lagen (2001:454) om behandling av personuppgifter inom socialtjänsten – utan att saken i stället regleras i den förordning (2001:637) om behandling av personuppgifter inom socialtjänsten som utfärdats i anslutning till
lagen. I förordningen föreskrivs bl.a. att, om behandling görs gemensamt för flera myndigheter inom en kommun, varje myndighet är personuppgiftsansvarig för den behandling som utförs hos den myndigheten (11 § andra stycket).
I registerlagstiftning förekommer vidare att en central myndighet fått ett övergripande personuppgiftsansvar även för sådan personuppgiftsbehandling som faktiskt utförs av en annan myndighet. I t.ex. lagen (1998:621) om misstankeregister har Rikspolisstyrelsen ålagts ensamt personuppgiftsansvar för personuppgiftsbehandlingen alldeles oberoende av vilken myndighet som faktiskt behandlar uppgiften genom att t.ex. själv registrera den i registret eller göra en slagning i registret. Skälet till det är, enligt den lagens förarbeten, att det är en klar fördel för den enskilde att ha en enda myndighet att vända sig till i händelse av att det blir aktuellt att rätta en felaktighet (prop. 1997/98:97 s. 108 f.).
11.6.2. Våra överväganden
Vid sammanhållen journalföring uppkommer, som framgått av det föregående, frågan om hur personuppgiftsansvaret bör fördelas mellan de ingående myndigheterna eller privata vårdgivarna.
Vår utgångspunkt i denna fråga är att en detaljreglering med utpekande av en personuppgiftsansvarig i och för sig skulle vara önskvärd från integritetssynpunkt. En enskilds möjligheter att ta till vara sina rättigheter underlättas givetvis, om det direkt i en författning klart framgår vem han eller hon skall vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne. En ordning som t.ex. innebär att varje myndighet eller privat vårdgivare som samverkar i sammanhållen journalföring har ett solidariskt ansvar för all personuppgiftsbehandling som förekommer eller en ordning som innebär att en viss på förhand utsedd vårdgivare ges ett ensamt ansvar skulle ju undanröja risken för att en enskild behöver vända sig till mer än en vårdgivare med klagomål.
Våra förslag innebär emellertid att det överlämnats åt de privata vårdgivarna, landstingen och kommunerna att inom lagens ramar närmare bestämma samarbetsformer, teknisk organisering, omfattning och andra parametrar vid sammanhållen journalföring. Redan mot den bakgrunden ter det sig på nuvarande stadium både omöjligt
och olämpligt att peka ut vem som bör vara personuppgiftsansvarig för behandlingar som kan komma att förekomma i de olika slags system för sammanhållen journalföring som kommer att byggas upp.
Övervägande skäl talar enligt vår mening för att regleringen i stället bör ta sin utgångspunkt i att det vid sammanhållen journalföring är den som har faktisk möjlighet att påverka om och hur en enskild personuppgiftsbehandling skall företas, som bör vara personuppgiftsansvarig för den behandlingen.
En reglering av detta innehåll har redan föreslagits som en grundläggande bestämmelse om personuppgiftsansvar i patientdatalagen, se avsnitt 8.3. Vid sammanhållen journalföring skall således varje vårdgivare (eller i förekommande fall myndighet inom hälso- och sjukvården) vara personuppgiftsansvarig för den enskilda personuppgiftsbehandling som vårdgivaren utför.
Det bör här påpekas att förslagen om sammanhållen journalföring i allt väsentligt utgör en reglering av direktåtkomst till journaluppgifter och annan vårddokumentation. Någon rätt att korrigera, komplettera, gallra eller liknande i andras vårddokumentation över vårdgivargränser finns alltså inte.
I praktiken innebär patientdatalagens allmänna bestämmelse om personuppgiftsansvar bl.a. att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten i skede 1 ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Bestämmelsen innebär vidare – till skillnad från vad som torde följa vid enbart en tillämpning av personuppgiftslagen – att den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär.
Några problem med att i ett enskilt fall avgöra vilken vårdgivare eller myndighet som faktiskt utfört en behandling bör inte kunna uppstå. Av de grundläggande kraven på all patientjournalföring följer att det skall framgå inte bara vilken befattningshavare som har journalfört en viss uppgift, utan även att det av journalen framgår i vilken verksamhet detta skett. Det får också betraktas som en basal säkerhetsåtgärd att de tekniska systemen fungerar så att det går att fast-
ställa när en journaluppgift eller annan vårddokumentation görs tillgänglig för andra vårdgivare och myndigheter i den sammanhållna journalföringen. Genom loggning kommer vidare att kunna spåras vem inom eller utom en vårdgivares eller myndighets verksamhet som berett sig tillgång till en journaluppgift m.m. och när detta skett, se avsnitt 12. Sammanhållen journalföring ställer med andra ord krav på informationssystem som möjliggör att en enskild personuppgiftsbehandling vid behov alltid kan rekonstrueras i efterhand.
Det personuppgiftsansvar som härutöver bör diskuteras omfattar bara mer övergripande frågor och förhållanden som är relaterade till det gemensamma tillgängliggörandet och den gemensamma åtkomsten till varandras vårddokumentation. Inte minst central är frågan om vem eller vilka som ansvarar för att personuppgifterna skyddas genom tekniska eller organisatoriska säkerhetsåtgärder när de görs tillgängliga i den sammanhållna journalföringen. Givetvis ingår det i varje vårdgivares ”ordinära” personuppgiftsansvar för sin elektroniska vårddokumentation att skydda den mot olaglig användning, förstöring, obehörig åtkomst m.m. Det kan här nämnas att ett motsvarande ansvar finns även enligt annan lagstiftning, såsom sekretesslagen och arkivlagstiftningen. I och med tillgängliggörandet vid sammanhållen journalföring uppkommer emellertid ytterligare dimensioner av ansvaret.
Något generellt och heltäckande svar på frågan om det övergripande ansvaret kan dock inte ges. Svaret beror i hög grad på hur man i rättstillämpningen bedömer de faktiska förhållandena i det enskilda fallet utifrån bestämmelsen om att varje vårdgivare eller myndighet ansvarar för den behandling som den utför. Som huvudregel bör därvid gälla att ansvaret för sådana övergripande frågor bör delas solidariskt mellan de samarbetande vårdgivarna eller myndigheterna, dvs. vara gemensamt för dem som tillgängliggör journaluppgifter i ett system för sammanhållen journalföring. Man kan dock inte utesluta att organisationen eller samarbetsformerna kan komma att gestalta sig på väldigt skilda sätt, vilket kan få betydelse vid en bedömning av ansvaret för övergripande frågor.
Den sammanhållna journalföringen kan exempelvis omfatta enbart ett urval basuppgifter från varje vårdgivares totala vårddokumentation som sammanställs i elektroniska och gemensamt tillgängliga översikter. Det är tänkbart att sådana översikter lagras och behandlas i en gemensam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting. Om det landstinget i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet, kan det
tala för att den aktuella myndigheten inom landstinget bör kunna anses ha ett personuppgiftsansvar för övergripande frågor.
I detta sammanhang bör understrykas att det är av stor vikt att parterna i ett samarbete med sammanhållen journalföring träffar avtal vari de närmare formerna för samarbetet preciseras. Vi har inget att invända mot att avtal träffas om den inbördes fördelningen av ansvar för olika moment. Så kan tvärtom sägas vara rekommendabelt. Det bör dock påpekas att utåt, i förhållande till allmänheten och enskilda registrerade, kan personuppgiftsansvar aldrig avtalas bort.
Som framgått av bl.a. uttalande från Datainspektionen kan det ibland vara en lämplig ordning att vid gränsöverskridande personuppgiftsbehandlingar använda sig av modellen med personuppgiftsbiträdesavtal; inte minst då någon utomstående, dvs. annan än en journalförande vårdgivare involveras i någon central funktion som administratör eller liknande. I några av de system för sammanhållen journalföring som nu utvecklas finns sådana aktörer med vilka de journalförande vårdgivarna och myndigheterna skulle kunna teckna biträdesavtal. Det sagda syftar dels på journalsystemet för vaccinationer SVEVAC som administreras av Smittskyddsinstitutet, dels på projektet för den Nationella patientöversikten som administreras av Carelink.
Det kan diskuteras om det alltid är lämpligt att en av vårdgivarna agerar som personuppgiftsbiträde åt de övriga vårdgivarna. Exempelvis har vid Stockholms läns landstings presentation för utredningen av planerna på en för alla landstingets vårdgivare gemensam vårddokumentation, GVD, nämnts att det kan komma att från landstingets sida ställas som villkor vid ingående eller förlängning av entreprenadavtal med privata vårdgivare att de deltar i GVD. Vid sådana förhållanden är det enligt vår mening tveksamt om de privata vårdgivarna intar en sådan överordnad position i förhållande till landstinget som gör att landstinget kan anses behandla personuppgifter i enlighet med varje privat vårdgivares instruktioner (jämför 30 § personuppgiftslagen).
Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom vi inte kan förutse i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Rimligen kan behov av en tydligare reglering uppkomma vid t.ex. etablerandet av en heltäckande nationell läkemedelsjournal eller om den nationella patientöversikten utvecklas och förverkligas på bred front
i enlighet med de planer som nu finns. Även andra specifika samarbeten i form av sammanhållen journalföring kan visa sig vinna på en författningsreglering av personuppgiftsansvaret som, utöver integritetsvinsterna för enskilda, ger en central aktör vissa möjligheter att samlat styra över och administrera verksamheten.
Vi föreslår därför en bestämmelse som ger regeringen möjligheter att vid behov närmare reglera personuppgiftsansvaret i sådana övergripande frågor om säkerhetsåtgärder. En sådan reglering kan ta sikte på såväl generella förhållanden som förhållanden vid en viss sammanhållen journalföring, exempelvis personuppgiftsansvaret för övergripande frågor avseende en läkemedelsjournal som etableras i en nationell databas.
Avslutningsvis skall beröras vad som sker med personuppgiftsansvaret vid sammanhållen journalföring då en vårdgivare, som deltar i samarbetet, upphör med sin verksamhet. Så kan ske av olika anledningar. En privat vårdgivare som bedriver sin verksamhet i enskild firma kan exempelvis gå i konkurs eller helt frivilligt sälja eller annars avveckla sin verksamhet. Likaså kan ett privat vårdbolag upplösas eller upphöra på många olika sätt. En privat vårdgivare som bedriver verksamhet på basis av entreprenadavtal med ett landsting kan förlora sitt kontrakt.
I många av dessa och likartade fall övergår en verksamhet till en ny vårdgivare som övertar journaluppgifterna i fråga, om patienterna går med på det. Likaså kan en myndighets hälso- och sjukvårdsverksamhet upphöra och övertas av en privat vårdgivare, ett enskilt organ, exempelvis på grund av bolagisering. Myndighetens journaler får då överlämnas till den privata vårdgivaren, om journalerna behövs i dennes verksamhet, se 2 kap. 17 § tryckfrihetsförordningen och lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring. Även det omvända kan förekomma; att en privat verksamhet, inklusive patienter och journaler, återgår till ett landsting eller en kommun vid upphörd entreprenad.
För den fortsatta behandlingen och tillgängliggörandet i den sammanhållna journalen av övertagna journaluppgifter i fall som de nu berörda, kommer den nye (eller nygamla) vårdgivaren (eller myndigheten) att ha motsvarande personuppgiftsansvar som den förre vårdgivaren i den mån den nye vårdgivaren också deltar i den sammanhållna journalföringen.
När det däremot gäller verksamhet som inte överförs utan helt enkelt upphör, anser vi att journaluppgifter från sådan verksamhet efter avvecklingen inte längre bör ingå i den sammanhållna journal-
föringen, dvs. vara elektroniskt tillgängliga för övriga vårdgivare. Någon särbestämmelse om detta behövs dock inte enligt vår uppfattning. Det finns helt enkelt inte längre någon vårdgivare som kan göra de ifrågavarande journaluppgifterna tillgängliga för de andra. Det är dock bra om det framgår genom en uppgift i ett system för sammanhållen journalföring att det finns arkiverade journaler.
I sammanhanget kan nämnas att då allmän verksamhet inte övertas, gäller som huvudregel enligt 14 § arkivlagen att journalerna skall överlämnas till en arkivmyndighet. Socialstyrelsen har i sina föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen föreskrivit – när det gäller motsvarande situation i enskild verksamhet – att vårdgivaren skall göra anmälan till Socialstyrelsen för beslut enligt 11 § patientjournallagen om omhändertagande av patientjournaler. Omhändertagna patientjournaler skall förvaras avskilda hos en arkivmyndighet, se om omhändertagande i avsnitt 10.4.9.
11.7. Arkivlagstiftning och andra bevarandefrågor vid sammanhållen journalföring
Vårt förslag: En journalhandling eller annan handling behöver bara bevaras hos den myndighet eller privata vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra handlingen.
11.7.1. Inledning
För patientjournalhandlingar gäller att de skall bevaras en viss minsta tid även om den vård som föranlett journalföringen avslutats. Såsom framgått i avsnitt 10.4.7 föreslår vi ingen saklig ändring av denna bestämmelse. För journalhandlingar och annan vårddokumentation som är allmänna handlingar gäller därutöver att de skall bevaras, dvs. bilda arkiv, och vårdas enligt bestämmelser i arkivlagstiftningen.
I vårt uppdrag ingår inte att göra några närmare överväganden om bevarande av journaler, arkivvård och liknande frågeställningar. Vid sammanhållen journalföring uppkommer dock frågor om vilka konsekvenserna blir från bevarande- och arkivsynpunkt då en journalhandling eller annan handling, dvs. upptagning, inte spärras utan görs tillgänglig över vårdgivargränser. Det finns därför anledning att kort beröra dessa frågeställningar här. Med skyldigheten att bevara journalhandlingar sammanhänger frågor om rätten att gallra
journalhandlingar. Efter en beskrivning av centrala bestämmelser i sammanhanget, redogör vi för vår bedömning av vad som bör gälla vid för flera vårdgivare sammanhållen journalföring.
11.7.2. Gällande rätt
Grundregeln om bevarande av patientjournaler finns i 8 § patientjournallagen. Där föreskrivs att en journalhandling skall bevaras minst tre år efter det den sista uppgiften fördes in i handlingen. Bestämmelsen gäller journalhandlingar i såväl allmän som enskild hälso- och sjukvård och alldeles oavsett om journaler förs på papper eller elektroniskt. I vissa fall kan föreskrivas om längre bevarandetid. Några sådana bestämmelser behandlas i avsnitt 10.4.7.
För journalhandlingar som utgör allmänna handlingar gäller därutöver arkivlagen samt de bestämmelser som meddelas med stöd av arkivlagen, bl.a. i arkivförordningen (1991:446) och i respektive landstings eller kommuns arkivföreskrifter.
Huvudregeln enligt arkivlagen är att allmänna handlingar skall bevaras. I lagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet. Syftet med arkivbildningen är att arkiven skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet. För handlingar som omfattas av den s.k. journalregeln i 2 kap. 7 § andra stycket 1 tryckfrihetsförordningen, blir varje anteckning arkiverad i och med att den har gjorts (3 § arkivförordningen).
För tillsyn över att myndigheterna sköter sina åligganden enligt arkivlagen finns det arkivmyndigheter. Kommunstyrelsen är arkivmyndighet i kommunen och landstingsstyrelsen i landstinget, om inte kommunfullmäktige eller landstingsfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet. Inget hindrar att en för flera landsting eller kommuner gemensam nämnd utses till arkivmyndighet. För sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen i vilka flera kommuner eller landsting bestämmer, fullgörs uppgiften av arkivmyndigheten i den kommun eller det landsting som kommunerna eller landstingen gemensamt kommer överens om. Det kan tilläggas att det åligger Riksarkivet att följa utvecklingen i kommunerna samt att ge kommunerna allmänna råd i arkivfrågor.
Ett stort antal allmänna råd har meddelats i Riksarkivets författningsserie RA-FS. Mellan Riksarkivet samt Sveriges Kommuner och Landsting sker samverkan i Samrådsgruppen för kommunala arkivfrågor.
Arkivlagens huvudregel om att allmänna handlingar skall bevaras gäller inte utan undantag.
För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse när det gäller för flera vårdgivare sammanhållen journalföring. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, skall bilda arkiv endast hos en av myndigheterna (3 § arkivlagen). Samma upptagning skall alltså inte bevaras och bilda arkiv hos alla myndigheterna. I första hand skall arkivbildning ske hos den myndighet som svarar för huvuddelen av upptagningen. Av förarbetena framgår att andra lösningar är tillåtna och att beslut om var arkivering skall ske får fattas av vederbörande arkivmyndighet (prop. 1989/90:72 s. 70). Det finns ingen specialreglering av hos vilken myndighet arkivbildning skall ske för det fall flera myndigheter har elektronisk tillgång till en enskilds, t.ex. en privat vårdgivare, upptagning på ett sätt som medför att den blir allmän handling hos alla myndigheter. Arkivbildning skall ske hos endast en av myndigheterna. I detta fall torde emellertid knappast någon av dem svara för huvuddelen av upptagningen.
Ett annat undantag från huvudregeln om att myndigheters allmänna handlingar skall bevaras är bestämmelsen om att allmänna handlingar får gallras (10 § arkivlagen). Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det skall vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställnings- eller sökmöjligheter, sämre möjligheter att kontrollera handlingars autencitet m.m.
Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som skall gallras ur dess arkiv av patientjournalhandlingar. Gallringsföreskrifter för sådana myndigheter fattas av kommunfullmäktige respektive landstingsfullmäktige. Deras föreskriftsrätt begränsas dock av att hänsyn skall tas till att återstående material skall tillgodose arkivbildningens syften. Dessutom får gallringsföreskrifter inte strida mot nyss nämnda bestämmelser i 8 § patientjournallagen och i andra författningar om minsta bevarandetid för patientjournalhandlingar.
Att gallring sker är inte bara en praktisk och ekonomisk fråga. Det har också från integritetssynpunkt ansetts väsentligt att känsligt material om enskilda inte bevaras i onödan. I många s.k. registerförfattningar finns därför bestämmelser om att gallring skall ske. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring. Någon avvikande bestämmelse om att patientjournaler eller vårdregister ovillkorligen måste gallras finns emellertid inte.
I 10 § vårdregisterlagen anges visserligen att det utöver vad som följer av personuppgiftslagen finns särskilda bestämmelser om bevarande och gallring i patientjournallagen. Som framgått av det föregående föreskriver patientjournallagen dock ingen skyldighet att gallra i journaler. Inte heller torde någon ovillkorlig gallringsskyldighet följa av personuppgiftslagen.
11.7.3. Aktuellt förslag
OSEK har i sitt delbetänkande Ordning och reda bland allmänna handlingar (SOU 2002:97) föreslagit en ny lag som samordnar regleringen i arkivlagen med bestämmelserna i 15 kap. sekretesslagen om registrering och utlämnande av allmänna handlingar m.m.; lag om hantering av allmänna handlingar. Förslaget har remissbehandlats och bereds för närvarande i Regeringskansliet.
När det gäller frågan hos vilken myndighet en upptagning – som är gemensamt tillgänglig och utgör allmän handling hos flera myndigheter – skall bevaras och bilda arkiv, föreslår OSEK att det direkt av lagen framgår att frågan måste avgöras genom beslut i varje enskilt fall. Enligt OSEK blir det i praktiken en fråga som måste diskuteras och lösas redan i samband med planeringen av ett system. En praktisk lösning enligt OSEK är att samma myndighet som har personuppgiftsansvaret också får arkivansvaret (a. bet. s. 127 ff.).
En ytterligare nyhet är en gallringsbestämmelse som, enkelt uttryckt, innebär att de anslutna myndigheterna får gallra upptagningar som de inte skall vara arkivansvariga för. Enligt OSEK krävs en sådan bestämmelse för att dessa myndigheter skall avlastas i avsedd mån. Förslaget innebär bl.a. att en myndighet som har tillgång till information genom direktåtkomst, skall kunna koppla ner sig utan att därigenom göra en otillåten gallring (a. bet. s. 130).
11.7.4. Vår bedömning
Såsom redan framhållits är det i dag inte möjligt att förutse i vilken omfattning eller med vilka tekniska eller organisatoriska lösningar vårdgivare närmare kommer att bygga upp system för sammanhållen journalföring över vårdgivargränser. Det är därför knappast möjligt att göra några säkra bedömningar i fråga om vad arkivlagstiftningen och andra regler om bevarande av journalhandlingar konkret innebär i det enskilda fallet av sammanhållen journalföring.
För att de öppnade möjligheterna till sammanhållen journalföring skall få genomslagskraft är det emellertid angeläget att reglerna inte medför att sammanhållen journalföring leder till omfattande arkivbildning m.m. som är ekonomiskt och administrativt belastande för de deltagande aktörerna eller som får negativa konsekvenser från integritetssynpunkt. Inte heller bör bevarandet av allmänna handlingar försämras.
Enligt vår uppfattning talar övervägande skäl för att sådana negativa konsekvenser avvärjs med en huvudprincip som innebär att varje vårdgivare som deltar i ett sammanhållet journalföringssystem ansvarar för bevarandet av de ospärrade journalhandlingar eller annan vårddokumentation som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. De andra deltagande vårdgivarna bör inte få ett sådant ansvar enbart på den grund att de har en potentiell tillgång till dessa handlingar. Vi kan inte se att något tungt vägande skäl talar för en annan lösning.
Arkivansvar eller annat ansvar för bevarande bör alltså följa verksamhetsansvar och personuppgiftsansvar för den enskilda personuppgiftsbehandlingen och en journalhandling eller annan handling bör alltså bara bevaras och bilda arkiv hos en myndighet eller en privat vårdgivare.
För att tydliggöra detta föreslår vi att det i lagen uttryckligen anges att bestämmelser i patientdatalagen eller i annan lag eller förordning om att journalhandlingar skall bevaras viss minsta tid, inte är tillämpliga på sådana journalhandlingar hos andra vårdgivare som man bara har tillgång till genom direktåtkomst vid sammanhållen journalföring.
Vidare föreslår vi en generell bestämmelse om att sådana handlingar får gallras. En sådan gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna skall bli arkivansvarig för privata vårdgivares journalhandlingar m.m. som de potentiellt sett har tillgång till (jfr 3 § första stycket andra meningen arkivlagen). Handlingar som en myndighet
de facto inte tar del av har ingen betydelse för myndighetens verksamhet. Vi menar därför att vårt förslag i denna del inte strider mot arkivväsendets syften.
Vad som därefter bör gälla i de fall då en vårdgivare faktiskt bereder sig tillgång till annan införande vårdgivares journalhandling är en inte helt okomplicerad fråga.
Vi har redan tidigare framhållit att en tidigare journalhandling hos annan vårdgivare normalt inte bör laddas ned i form av en kopia som tillfogas och lagras i den egna journalföringen såsom en ny journalhandling (se avsnitt 11.3.3). Kraven på att journalen skall innehålla de uppgifter som behövs för en god och säker vård – se 3 § patientjournallagen som i denna del överförs oförändrad till patientdatalagen – innebär inget krav i sig på att varje vårdgivare vid sammanhållen journalföring måste ha ”kompletta” uppgifter. En av poängerna med den sammanhållna journalföringen är ju att dubbeldokumentation skall kunna undvikas. Det är också önskvärt från integritetssynpunkt att uppgifter inte hålls tillgängliga på mer än ett ”ställe”. Normalt bör, enligt vår uppfattning, det vara fullt tillräckligt för vårdsyftet att vårdpersonal tar del av den tillgängliga informationen. Med tanke på de förslag som vi lämnar i fråga om åtkomstdokumentation m.m. (se avsnitt 12) går en sådan personuppgiftsbehandling alltid att rekonstruera i efterhand. Det finns således inget behov av att kopiera informationen för att i händelse av befarat rättsligt efterspel visa vad man gjort eller liknande. Inte heller menar vi att en sådan praxis är oförenlig med de intressen som bär upp arkivväsendet.
Vi vill påpeka att det alltså inte finns något krav på myndigheter som är anslutna till en sammanhållen journalföring att de laddar ner och lagrar kopior av andra vårdgivares journalhandlingar som får betydelse i den egna patientvården. I 15 kap. 14 § sekretesslagen föreskrivs visserligen att en upptagning som används för handläggningen av ett mål eller ärende skall tillföras handlingarna i målet eller ärendet. Den bestämmelsen gäller dock inte – annat än i speciella undantagsfall vid tvångsvård – journalföring i faktisk hälso- och sjukvård. Det kan här nämnas att OSEK i det nyss nämnda delbetänkandet har föreslagit en förändring härvidlag, som mycket förenklat uttryckt innebär att handlingar som tillför ett mål, ärende eller process sakuppgifter skall knytas till övriga handlingar i målet, ärendet eller processen. Med process torde avses t.ex. faktisk verksamhet såsom patientjournalföring vid hälso- och sjukvård (se SOU 2002:97 s. 111 f. och 2 kap. 1 § första stycket 5 i förslaget till lag om hantering av allmänna handlingar). För det fall OSEK:s förslag genomförs, finns
det enligt vår uppfattning anledning att göra undantag när det gäller användning av direktåtkomst i system för sammanhållen journalföring enligt patientdatalagen.
Å andra sidan tror vi att det kan vara svårt att helt undvara nedladdning av kopior. Att den tidigare informationen bifogas den egna journalinformationen kan i undantagsfall vara av helt avgörande betydelse för en god och säker vård hos den senare vårdgivaren. Sker en nedladdning, innebär det att en ny handling framställts, på motsvarande sätt som vid manuell hantering av en patientjournal när en papperskopia på en journalhandling, som en vårdgivare fått från en annan vårdgivare, bifogas patientjournalen. Ett annat exempel är att det av någon anledning behöver göras en sammanställning av olika uppgifter som hämtas från flera olika vårdgivares journalhandlingar. Även i det sist nämnda exemplet har en helt ny journalhandling framställts. I sammanhanget kan framhållas att det självfallet inte är tillåtet att ladda ned och lagra information som inte är nödvändig nu men som ”kan vara bra att ha”. Inte heller får det göras bara därför att informationen kan komma till nytta i den egna verksamhetsuppföljningen eller liknande. Det följer av kravet på att det skall finnas ett konkret och aktuellt vårdsyfte varje gång direktåtkomsten används, se avsnitt 11.3.
Särskilt i den form av sammanhållen journalföring som innebär att lokalt lagrade journalhandlingar knyts samman i ett gemensamt informationsöverföringssystem tror vi att behov av att komplettera den egna journalföringen ibland kommer att finnas. Efter hand som gemensamma databaser kan komma att växa fram är det troligt att behovet av denna s.k. dubbeldokumentation minskar. Under alla förhållanden menar vi att förfarandet inte bör förbjudas. För att den sammanhållna journalföringen verkligen skall skapa administrativa vinster för hälso- och sjukvården ligger emellertid ett viktigt ansvar på sjukvårdshuvudmännen och andra vårdgivare att ta fram regler och rutiner som förhindrar att den sammanhållna journalföringen skapar en ny form av onödig överdokumentation som går tvärt emot en av intentionerna med den sammanhållna patientjournalföringen. En sådan överdokumentation är också negativ från integritetssynpunkt.
När tidigare journalhandlingar blir en ”ny” journalhandling hos en senare vårdgivare på sätt som beskrivits i exemplen ovan, är det vår uppfattning att hanteringen och bevarandet av den nya journalhandlingen bör följa samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.
Såsom redovisats i avsnitt 10.4.7 finns det vissa skäl som talar för en förlängning av den nuvarande minsta bevarandetiden om tre år för journalhandlingar, men att vi inom ramen för vårt uppdrag inte sett det som möjligt att föreslå en generell förlängning av denna minimitid. När det gäller sammanhållen journalföring är det givetvis väsentligt för patientsäkerheten och för vårdgivarnas tillit till systemet att ospärrade journalhandlingar gallras under kontrollerade former. Minimitiden för bevarande, tre år, är möjligen väl kort när det gäller dessa handlingar. Det sagda har, som framgått i det föregående, i huvudsak betydelse för journalhandlingar hos privata vårdgivare. Vi vill här peka på den möjlighet regeringen har att föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Den möjligheten kommer att finnas även enligt patientdatalagen. Vi ser inga hinder mot att regeringen med stöd av denna delegationsbestämmelse föreskriver en minsta bevarandetid om tio år för sådana journalhandlingar som vårdgivare gör tillgängliga i system för sammanhållen journalföring.
Avslutningsvis vill vi ånyo framhålla att det i vårt mandat inte ingår att överväga ändringar i arkivlagstiftningen. Det är ett rättsområde som har helt andra utgångspunkter och intressen än de vi i vårt uppdrag har att i främsta rummet beakta; patientsäkerhet, integritet och effektivitet. Vi menar dock att såväl gällande arkivlagstiftning som förslag till ny lagstiftning öppnar för möjligheter att hantera sammanhållen journalföring på ett bra och smidigt sätt.
Det får förutsättas att kommuner och landsting i samråd löser frågor om arkivbildning i förväg. Innan de sjösätter system för sammanhållen journalföring bör de t.ex. utse arkivmyndighet, vid behov reglera var arkivbildning skall ske samt ta fram enhetliga bestämmelser för gallring. En fråga som kan behöva lösas i det sammanhanget är vad som skall gälla för bevarande av sådana centrala patientöversikter eller liknande personuppgiftssamlingar som inte innehåller journalhandlingar utan annan vårddokumentation och som enbart inrättats för att underlätta sökning efter journalhandlingar eller för att administrera det sammanhållna journalföringssystemet. Som berörts i avsnitt 11.6 är det troligt att sådan personuppgiftsbehandling ofta kommer att utföras av en av de involverade vårdgivarna eller av ett särskilt inrättat samarbetsorgan eller liknande. Det är vidare vår förhoppning att den tidigare nämnda Samrådsgruppen för kommunala arkivfrågor utarbetar allmänna råd om hur gallring kan ske och om hur ansvaret för bevarandefrågor lämpligen kan fördelas. Den framtida utvecklingen får givetvis följas och bevakas.
11.8. Kraven på patientjournalföringen och sammanhållen journalföring
Vår bedömning och vårt förslag: Våra förslag om sammanhållen journalföring påkallar – med ett undantag – inga särregler i förhållande till den reglering av patientjournalföringen som föreslagits i avsnitt 10 och som i dag finns i patientjournallagen.
Undantaget gäller bestämmelsen om att för det fall en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det dokumenteras i patientjournalen vem som är mottagare och när handlingen har lämnats ut. Den bestämmelsen skall inte gälla vid utlämnande genom direktåtkomst.
Våra förslag om sammanhållen journalföring avser, som tidigare sagts, ingen förändring av det grundläggande systemet med patientjournalföring inom hälso- och sjukvård. Det förhållandet att olika legitimerade yrkesutövares journalföring kan knytas samman i stora informationssystem gemensamma för flera vårdgivare innebär alltså i huvudsak ingen förändring av systemet som sådant angående huruvida, av vem och hur journaler skall föras eller hur de skall hanteras. Varje journalförare kommer även framgent att ha det medicinska yrkesansvaret för sina anteckningar och varje vårdgivare kommer, precis som vid traditionell journalföring, att ha det övergripande ansvaret för de journalhandlingar som framställs i den egna verksamheten. Det sagda gäller även om samtliga vårdgivares journalhandlingar skulle lagras i samma databas. Någon rätt att över vårdgivargränserna bearbeta, rätta, gallra osv. i varandras journalhandlingar inryms inte i våra förslag. Det behövs dock inga uttryckliga bestämmelser om detta i patientdatalagen.
I avsnitt 11.7 har vi behandlat en frågeställning angående sammanhållen journalföring och bestämmelsen om bevarande av patientjournaler. Vi har lämnat vissa förslag i den delen.
Därutöver anser vi att det behövs ett undantag från bestämmelsen om att det i journalen skall antecknas om en journalhandling, en avskrift eller en kopia har lämnats ut till någon. I sådant fall skall antecknas vem som är mottagare och när den har lämnats ut. Av avsnitt 11.4 och 11.5 har framgått att vid direktåtkomst enligt bestämmelserna om sammanhållen journalföring anses en journalhandling utlämnad redan i och med att den görs tekniskt eller potentiellt tillgänglig för anslutna vårdgivare. Enligt vår uppfattning skulle det medföra ett orimligt administrativt merarbete för journalförarna, om
det varje gång en ny anteckning görs i journalen även skulle noteras vilka vårdgivare som är anslutna till den sammanhållna journalföringen och alltså i strikt mening är mottagare av den nya informationen.
Bestämmelsens syfte är att underlätta arbetet med att spåra journalhandlingar då fråga uppkommer om att journalhandling skall förstöras efter beslut av Socialstyrelsen. Enligt våra förslag i avsnitt 12 kommer elektronisk åtkomst, även användning av direktåtkomst, alltid att dokumenteras, loggas, i elektroniska informationssystem. Genom de bestämmelserna menar vi att det vid ärenden om journalförstöring kommer att finnas tillräckligt bra verktyg att spåra kopior av journalhandlingar, som skall förstöras enligt beslut av Socialstyrelsen. Mot bakgrund av det sagda föreslår vi ett undantag om att utlämnande genom direktåtkomst inte behöver dokumenteras i journalen. I sammanhanget kan påpekas att när det gäller ärenden om förstöring av patientjournal är det vid sammanhållen journalföring bara den vårdgivare som ansvarar för just den eller de journalhandlingar som omfattas av ansökan, som skall beredas tillfälle att yttra sig i ärendet, se om förstörande av journal i avsnitt 10.4.8. Vid sådana ärenden måste dock beaktas att andra vårdgivares tidigare användning av sin direktåtkomst till ifrågavarande handling kan vara en omständighet som talar mot ett förstörande av handlingen.
Inom enskild hälso- och sjukvård är det den privata vårdgivare som ansvarar för en journalhandling som prövar frågor om utlämnande av just den handlingen på begäran av patienten.
I övrigt menar vi att förslagen om sammanhållen journalföring inte påkallar särreglering i förhållande till de krav på all slags patientjournalföring som i dag finns i patientjournallagen och som i sak oförändrade föreslås föras över till patientdatalagen.
Av dessa bestämmelser har vi i avsnitt 11.7 berört bestämmelsen om kraven på journalens innehåll (3 § i patientjournallagen) och vad den innebär vid sammanhållen journalföring. När det gäller själva innehållet i journalhandlingarna säger det sig självt att enhetlig användning av begrepp och termer blir särskilt betydelsefull vid sammanhållen journalföring då information i journalhandlingar hos en vårdgivare kan komma att läggas till grund för behandlingsåtgärder hos en annan vårdgivare. Socialstyrelsens arbete med dessa frågor är alltså av stor vikt för att sammanhållen journalföring skall ge en ökad patientsäkerhet i hälso- och sjukvården. Främst kommer det dock att ligga på vårdgivarna själva att i samverkan ta fram riktlinjer för sin personal angående hur journaler skall föras på ett enhetligt sätt.
När det gäller bestämmelserna om omhändertagande och återlämnande av patientjournaler inom enskild hälso- och sjukvård anser vi att det förhållandet att en vårdgivare är ansluten till ett sammanhållet journalföringssystem inte bör inverka på Socialstyrelsens möjligheter att besluta att patientjournaler inom den enskilda hälso- och sjukvården skall tas om hand. Vårdgivarens ansvar för att hantera och bevara sina journaler är ju detsamma, oavsett om denne deltar i ett sådant journalföringssystem eller inte. Det kan naturligtvis även i fråga om vårdgivare som deltar i ett sammanhållet journalföringssystem uppkomma situationer då det kan antas att journalerna inte kommer att skötas enligt föreskrifterna om hantering och bevarande av patientjournaler. Det kan även uppkomma situationer då det kan vara motiverat att på vårdgivarens ansökan omhänderta journalerna.
Inte heller bör vårdgivarens deltagande i ett sammanhållet journalföringssystem inverka på förutsättningarna för att återlämna omhändertagna patientjournaler eller vad som skall gälla beträffande var och hur omhändertagna journaler skall förvaras, möjligheten till överprövning av beslut om omhändertagande och återlämnande, etc.
12. Inre sekretess
12.1. Inledning
Resultaten från den enkätundersökning som vi låtit Statistiska centralbyrån genomföra, andra undersökningar och rön tyder på att allmänhetens förtroende för hälso- och sjukvårdens hantering av patientjournalinformation generellt sett är mycket gott. Även om detta förtroende inte gäller utan undantag – vilket bl.a. framgått av telefonsamtal och några brev till utredningen – tycks det inte finnas någon utbredd oro för att införandet av stora, brett tillgängliga system för elektronisk patientjournalföring kommer att innebära oacceptabla intrång i den personliga integriteten. Samma intryck har vi fått med anledning av diskussioner med ett stort antal patient- och pensionärsföreningar som vi bjudit in till hearingar. Det är centralt för hälso- och sjukvården att detta förtroende hos allmänheten och patientgrupper inte äventyras utan helst förstärks i den fortsatta utvecklingen av hälso- och sjukvårdens informationshantering.
Under vårt arbete har det från olika håll, främst från företrädare för hälso- och sjukvården, framförts att dagens reglering skyddar patienternas integritet på bekostnad av patientsäkerheten. Detta förhållande, menar man, utgör en stark hämsko mot ett ändamålsenligt utnyttjande av IT i hälso- och sjukvården vilket får negativa återverkningar på patientsäkerheten i form av bl.a. informationsbrist och ineffektivitet. Mycket av diskussionernas fokus har legat på svårigheterna att få uppgifter att följa patienter i processer där fler än en vårdgivare involveras och journaluppgifter därför måste passera legala gränser mellan myndigheter eller andra vårdgivare. I avsnitt 11 har vi lämnat förslag till hur vårdgivare skall kunna utveckla gränsöverskridande IT-lösningar som sätter patienten i centrum genom att vårdgivarna ges möjligheter till bl.a. bättre samordning och samarbete kring vården av en patient samtidigt som möjligheterna förenas med en reglering som är ägnad att bibehålla ett gott integri-
tetsskydd och upprätthålla allmänhetens förtroende för hälso- och sjukvårdens informationshantering.
Vi har emellertid redan tidigare påpekat, bl.a. i avsnitt 6 och 11.3, att frågan om förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter mellan vårdgivare. Även inom en sådan verksamhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda. Såsom framgått av avsnitt 11.5.3 ansluter vi oss till Offentlighets- och sekretesskommitténs (OSEK) bedömning att det inte finns några yttre sekretessgränser mellan olika hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. Det innebär bl.a. när det gäller den offentligt bedrivna hälso- och sjukvården att ett verksamhetsområde vari informationsutbyte kan ske utan att regleras av sekretesslagens (1980:100) regler kan bli mycket stort, t.ex. i landsting som centraliserat all hälso- och sjukvårdsverksamhet under en och samma nämnd. I detta avsnitt diskuteras frågor som har med den s.k. inre sekretessen att göra.
Inre sekretess är inget juridiskt definierat eller helt avgränsat begrepp. Ofta menas härmed i vad mån personal inom en verksamhet får – muntligen eller på annat sätt – lämna ut uppgifter som omfattas av sekretess till arbetskamrater. När vi i det följande behandlar den inre sekretessen menar vi emellertid ett vidare begrepp som inrymmer ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga integriteten.
Frågeställningarna har bäring inte bara på journalföring enligt de bestämmelser som behandlats i avsnitt 10. Visserligen torde journaluppgifter vara den generellt och totalt sett mest integritetskänsliga informationen som dokumenteras inom hälso- och sjukvården. Men även inom patientadministrationen och vid annan personuppgiftsbehandling enligt patientdatalagen hanteras integritetskänsliga personuppgifter om enskilda. Såsom berörts i avsnitt 8.2.3 kan gränserna för den ena eller andra formen av information vara svår att dra i t.ex. elektroniska system som integrerar patientadministration med journalföring och behöver kanske inte heller göras i alla sammanhang. För frågan om vilket integritetsskydd en patient har i fråga om uppgifter om sig själv, bör det alltså inte spela någon avgörande roll var gränserna går. De problem som beskrivs och de förslag som
lämnas i det följande angående inre sekretess, begränsar sig således inte till enbart information i patientjournaler.
12.2. Nuvarande reglering
Det finns ett antal bestämmelser i hälso- och sjukvårdslagstiftningen som har direkt eller indirekt betydelse när det gäller hanteringen av journalinformation och annan patientdokumentation inom en vårdgivares verksamhet.
Av grundläggande betydelse är 2 a § hälso- och sjukvårdslagen (1982:763) som bl.a. slår fast att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Det sagda har även bäring på hanteringen av information om patienten. Bestämmelsen anses t.ex. föra med sig att det är ett naturligt inslag i vården att patientens samtycke inhämtas till att hans eller hennes journalhandling lämnas vidare till en annan vårdenhet (prop. 1990/91:111 s. 24). JO har i ett äldre utlåtande, JO 1986/87 s. 199, uttalat att det följer av den angivna bestämmelsen i hälso- och sjukvårdslagen att en patients uttryckliga önskemål om att journaler inte lämnas till andra kliniker på samma sjukhus skall respekteras.
Enligt 7 § första stycket patientjournallagen (1985:562) skall varje journalhandling hanteras och förvaras så, att obehöriga inte får tillgång till den. Regeln slår fast en inre sekretess som kompletterar det integritetsskydd som sekretesslagen och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område ger i fråga om utlämnande av uppgifter från hälso- och sjukvården. Journaler får enligt denna bestämmelse inte vara fritt tillgängliga inom en vårdgivares verksamhet. I förarbetena uttalas att det endast är en begränsad del av personalen på en klinik som i sitt arbete behöver tillgång till patientens journal. Respekten för patientens integritet kräver att ingen utanför denna krets får tillgång till journalen. De är att se som obehöriga i bestämmelsens mening. Läsning i en patientjournal av ren nyfikenhet kan aldrig godtas (prop. 1984/85:189 s. 43 f.). Enligt förarbetena avser bestämmelsen såväl upprättade som ingivna journalhandlingar, t.ex. inlånade patientjournaler. Med hantering avses närmast den vardagliga användningen av journalen i arbetet. När det gäller elektroniska journalhandlingar angavs i förarbetena att ADB-system måste förses med någon form av individuell behörighetskontroll och andra säkerhetsspärrar, t.ex. terminallåsning för
att uppfylla lagens krav. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen anger att endast den personal vid en enhet som är engagerad i vården av patienten har rätt att ta del av patientjournalen.
Enligt 8 § lagen (1998:544) om vårdregister (vårdregisterlagen) får endast den som för de ändamål som anges i 3 och 4 §§ behöver ha tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Enligt förarbetena är bestämmelsen om direktåtkomst tänkt att motsvara innehållet i 7 § patientjournallagen. Vårdregisterlagen har emellertid ett vidare tillämpningsområde, eftersom ett vårdregister kan innehålla annan patientdokumentation än journalhandlingar (prop. 1997/98:108 s. 99). Vidare anges i förarbetena att administrativ personal inte får ges direktåtkomst till samtliga uppgifter i ett vårdregister, om detta förs för bl.a. patientjournalföring. Den personuppgiftsansvarige får därför göra en bedömning mot bakgrund av 7 § patientjournallagen och 2 a § hälso- och sjukvårdslagen när det skall bestämmas vilka uppgifter olika befattningshavare behöver tillgång till. Befattningshavarens behov måste falla in under tillåtna ändamål enligt 3 och 4 §§ vårdregisterlagen.
Bestämmelserna i patientjournallagen och vårdregisterlagen om inre sekretess gäller både i den allmänna och den enskilda hälso- och sjukvården.
Det är ingen överdrift att påstå att det inom hälso- och sjukvården råder en ganska stor osäkerhet om vad kravet på den inre sekretessen enligt de ovannämnda författningarna konkret innebär i fråga om exempelvis stora sjukhus- eller landstingsgemensamma journalsystem.
Datainspektionen har vid ett större tillsynsarbete enligt personuppgiftslagen (1998:204) i ett antal landsting kritiserat Västerbottens läns landsting för dess principbeslut om att alla landstingsanställda läkare och sjuksköterskor skall ha behörighet att läsa all journalinformation som behandlas i landstinget (beslut 2005-02-22 dnr 1459-2004). Enligt Datainspektionen är principbeslutet inte förenligt med vårdregisterlagens bestämmelse om direktåtkomst. Datainspektionen kritiserade bl.a. att landstinget inte analyserat och tagit aktiv ställning till vilka uppgifter som faktiskt behövs för en viss tjänstgöring och tilldelar användaren behörighet efter detta behov. En konsekvens av det sagda är enligt Datainspektionen att ett landsting först måste fastställa vilka behov som finns innan nya behörighets-
rutiner införs. Enligt Datainspektionens bedömning är det inte rimligt att tro att en så vid läsbehörighet som har beslutats i landstinget motsvarar det faktiska behovet. Under sådana förhållanden räcker det inte för att uppfylla kraven i den nuvarande lagstiftningen att loggar kontrolleras i efterhand för att konstatera eventuella intrång. När ett intrång konstaterats är skadan redan skedd. Ett godtagbart integritetsskydd kräver en kombination av väl avvägda rutiner för behörighetstilldelning, administrativa rutiner för när det är tillåtet att ta del av patientuppgifter samt kontroller i efterhand av loggar. Just i fråga om kontroll av loggar kritiserades landstinget särskilt för att inte ha central uppföljning av om de skriftliga rutinerna för kontroll av loggar följs i organisationens olika enheter. I rapporten Ökad tillgänglighet till patientuppgifter Rapport 2005:1 har Datainspektionen framfört ytterligare synpunkter till vilka vi återkommer i det följande.
Av betydelse för gällande rätt om inre sekretess är vidare att olovligt intrång och olovligt efterforskande i elektroniska informationssystem, t.ex. ett vårdregister, kan vara straffbart enligt straffbestämmelsen om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning döms enligt 4 kap. 9 c § brottsbalken för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till ett elektroniskt journalsystem för att läsa uppgifter om en patient utan att detta behövs från arbetssynpunkt, t.ex. på grund av nyfikenhet. Även läsning i utbildningssyfte för att eftersöka förebilder på lämpliga formuleringar har i rättspraxis bedömts i och för sig kunna utgöra dataintrång (se RH 2002:36, det s.k. Blommanfallet). Någon motsvarande straffbestämmelse om olovligt intrång i pappersjournaler finns inte.
12.3. Aktuella förslag
Socialstyrelsen har i sin skrivelse Patientjournallagen – En översyn med förslag till författningsändringar, se avsnitt 10.2.1, föreslagit att nuvarande bestämmelse om inre sekretess i 7 § patientjournallagen förtydligas. Enligt förslaget skall hälso- och sjukvårdspersonal vid en enhet vara behörig att ta del av en patientjournal på enheten endast om han eller hon deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifter ur journalen för sitt arbete vid en-
heten. En patientjournal skall i övrigt förvaras så att obehöriga inte får tillgång till den.
OSEK har i sitt huvudbetänkande med förslag till ny sekretesslag föreslagit att det införs en generell reglering i den nya sekretesslagen om inre sekretess. Den föreslagna regleringen innebär ett förbud att muntligen eller på annat sätt lämna uppgifter vidare till arbetskamrater inom en myndighet, om det är uppenbart obehövligt för verksamheten (SOU 2003:99 s. 282 f.). Varken 7 § patientjournallagen eller någon annan bestämmelse hindrar att hälso- och sjukvårdspersonal lämnar uppgifter om en patient vidare till sina arbetskamrater för att tillfredsställa deras nyfikenhet, framhåller OSEK. Däremot finns en väl utvecklad etisk tradition, s.k. förtroendesekretess med tillhörande tystnadsplikt, inom just hälso- och sjukvården som innebär att man vanligtvis är mycket försiktig när det gäller uppgiftslämnande mellan tjänstemän. Det är dock närmast en etisk fråga vilka uppgifter som kan lämnas inom en verksamhet. Enligt OSEK behövs en rättslig avgränsning. Särskilt tydligt är behovet när det rör sig om stora verksamhetsområden. Sådana uppkommer bl.a. när verksamheten organiseras så att myndighetsgränserna dras på central eller regional nivå med regionala eller lokala underorgan. Det finns då en betydande risk för att känsliga, och därmed skyddsvärda, uppgifter kan komma att spridas i onödigt stor omfattning. Fruktbart utbyte av erfarenheter och information samt möjligheten till nödvändiga konsultationer mellan kollegor måste givetvis få äga rum även i fortsättningen enligt OSEK. Ett sådant utbyte bör dock i stor utsträckning kunna ske utan att den enskilde identifieras.
För att vara säker på att bestämmelsen inte blir onödigt åtstramande och hindrar ett behövligt informationsutbyte har förslaget utformats som en lägsta nivå för när uppgifter inte får föras vidare. Frågan om uppgifter i mindre uppenbara fall skall få utbytas inom verksamheten får liksom i dag avgöras av etiska principer. Det innebär, enligt OSEK, att frågan om röjande i sådana fall även i fortsättningen kommer att vara beroende av personliga ställningstaganden som görs utifrån mer etiska värderingar.
Enligt OSEK:s förslag införs en bestämmelse i sekretesslagen som anger att, om det kan antas att en uppgift inte får lämnas ut från ett sekretessområde på grund av sekretess, uppgiften inte heller får röjas inom sekretessområdet om det är uppenbart obehövligt för verksamheten. På så sätt inskärps betydelsen av att inte i onödan utbyta känsliga uppgifter arbetskamrater emellan. Allt utbyte av sådana uppgifter som har sin grund i skvaller, personlig nyfikenhet eller
andra ovidkommande syften skulle bli olagligt. Med en reglering av den inre sekretessen följer ett straffansvar. Såväl uppsåtliga som oaktsamma brott mot den inre sekretessen blir straffbara enligt 20 kap. 3 § brottsbalken, den bestämmelse som i dag avser brott mot tystnadsplikt. I ringa fall uppkommer dock inget straffrättsligt ansvar. Regleringen av den inre sekretessen är dock inte avsedd att påverka bedömningen av om dataintrång föreligger. Den bedömningen skall ske på samma grunder som i dag.
Enligt OSEK kompletterar förslaget Socialstyrelsens förslag till förtydligande av nuvarande 7 § patientjournallagen. Med tanke på det förslag till förtydligande som Socialstyrelsen lämnat i fråga patientjournallagen bestämmelse om inre sekretess, har OSEK inte funnit skäl att låta sitt förslag om inre sekretess omfatta också ett förbud att efterforska uppgifter.
OSEK:s förslag har remissbehandlats. Förslaget om en reglering av den inre sekretessen har i huvudsak tillstyrkts eller lämnats utan erinran av remissinstanserna. Flera remissinstanser, bl.a. JO och JK, ifrågasatte emellertid om behovet av en reglering av den inre sekretessen övervägde de tillämpningsproblem som kan befaras uppstå. När det gäller OSEK:s förslag till vidgade sekretessområden på hälso- och sjukvårdens och socialtjänstens område, ansåg JO att det fanns ett behov av regler som begränsar öppenheten. Enligt JO borde detta dock lösas på annat sätt än genom införandet av en för hela den offentliga sektorn gemensam regel om inre sekretess.
12.4. Våra överväganden
Våra bedömningar och förslag:
1. Nuvarande reglering i 7 § första stycket patientjournallagen om att varje journalhandling skall hanteras och förvaras så att obehöriga inte får tillgång till den bör behållas men
a) dels vidgas till att omfatta alla dokumenterade personupp-
gifter om patienter eller andra enskilda registrerade, dvs. även annan vårddokumentation, kvalitetsregisteruppgifter m.m. som behandlas enligt patientdatalagen,
b) dels förtydligas genom tillägget att den som arbetar hos en
vårdgivare får ta del av sådana uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjuk-
vården. Bestämmelsen omfattar både manuellt och elektroniskt behandlade patientuppgifter, även uppgifter om avlidna.
2. När det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation införs en ny bestämmelse om tillåten elektronisk åtkomst som delvis motsvarar nuvarande reglering i 8 § vårdregisterlagen men som ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Närmare bestämmelser meddelas av regeringen eller, efter bemyndigande, av Socialstyrelsen efter samråd med Datainspektionen.
3. En ny bestämmelse införs som innebär en skyldighet för vårdgivaren att dokumentera elektronisk åtkomst samt att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter förekommer. Närmare bestämmelser meddelas av regeringen eller, efter bemyndigande, av Socialstyrelsen efter samråd med Datainspektionen.
4. Den enskilde patienten ges rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som skall ges till patienten meddelas av regeringen eller, efter bemyndigande, Socialstyrelsen efter samråd med Datainspektionen.
5. Den enskilde patienten ges rätt att begära att vårddokumentation spärras från tillgänglighet för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Rätten motsvarar opt out-möjligheten i skede 1 vid sammanhållen journalföring. Spärren skall med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren skall också kunna forceras, om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna.
6. I patientdatalagen införs ett särskilt kapitel om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, vari bestämmelserna enligt punkterna 1 b)–3 och 5 tas in. Be-
stämmelsen i punkten 1 a) tas in i patientdatalagens inledande kapitel. Bestämmelsen i punkten 4 om patientens rätt att få information om direktåtkomst och elektronisk åtkomst som förekommit hos en vårdgivare, tas in i ett kapitel om rättigheter för den enskilde.
Allmänt
Den inom hälso- och sjukvården djupt rotade etiska principen om förtroendesekretess för uppgifter som kommer fram i kontakten mellan hälso- och sjukvårdspersonal och patient, utgör självklart en stark motkraft mot att skvallra om patienter eller annars sprida uppgifter på ett oacceptabelt sätt bland arbetskamrater. Detsamma gäller i fråga om benägenheten att ta reda på uppgifter om patienter som vårdas på arbetsplatsen men som man inte själv har en yrkesmässig relation till. Med tanke på hälso- och sjukvårdens omfattning och det stora antalet anställd hälso- och sjukvårdspersonal – omkring 300 000 personer bara i kommunernas och landstingens hälso- och sjukvård – vore det emellertid naivt att utgå från att sådant inte alls förekommer.
Det har inte varit möjligt att inom ramen för vårt uppdrag göra någon undersökning av i vilken mån det förekommer att patientens integritet i fråga om uppgifter om hälsa och andra personliga förhållanden inte respekteras inom vårdgivarnas verksamhet. En del anställda inom hälso- och sjukvården har under utredningsarbetet berättat för oss att det faktiskt förekommer onödigt pratande om patienter i en inte obetydlig omfattning. Från olika håll har det också framkommit att anställda, när de själva uppsöker hälso- och sjukvården som patienter, begär att elektroniska journaler om dem inte skall vara allmänt tillgängliga för kollegor. I Norge har en undersökning bland sjukvårdsanställda visat att bara 14 procent av de anställda anser att det inte alls förekommer att personal tittar i journalen utöver vad som är nödvändigt för patientens vård och behandling. Hela 34 procent litar inte på att obehöriga kollegor skulle låta bli att ta del av journalen, för det fall svarspersonerna själva skulle uppsöka sin arbetsplats som patienter.
Några säkra slutsatser kan inte dras av de spridda synpunkter vi fått från enskilda personer som arbetar inom hälso- och sjukvården eller av den norska undersökningen Vi vet alltså ingenting om hur representativa synpunkterna är för den svenska personalkåren. Inte
heller kan vi bedöma om det finns fog för den uppfattning som vissa anställda framfört att de har. Det faktum att det relativt sällan blir känt att personal utan yrkesmässigt befogad anledning bereder sig tillgång till journalhandlingar eller andra uppgifter om patienter kan vara ett tecken på att detta inte är ett stort problem inom hälso- och sjukvården. Samtidigt kan man konstatera att det hos många vårdgivare är förhållandevis riskfritt för en anställd att utan lov läsa journalanteckningar m.m. Det gäller särskilt pappersjournaler där synliga spår sällan sätts. Mörkertalet kan alltså vara stort. När det gäller elektroniska journalsystem m.m. är möjligheterna att konstatera olovlig läsning betydligt bättre. Normalt sätts elektroniska spår, loggar, även då en person endast gjort en slagning för att läsa uppgifter, vilket gör det möjligt att i efterhand följa upp och konstatera en olovlig slagning. Såsom framkommit bl.a. av ovan nämnda rapport från Datainspektionen är det dock oklart i vilken omfattning loggkontroller faktiskt görs inom hälso- och sjukvården och, i förekommande fall, hur effektiva dessa är.
Mot bakgrund av det sagda bör man inte sticka under stol med att utvecklingen mot gemensamma brett tillgängliga elektroniska journalsystem inom de stora vårdgivarnas verksamhet innebär ökade risker för integritetsintrång, om den ökade potentiella tillgängligheten inte hanteras på ett bra sätt.
Datainspektionen har i sin ovan nämnda rapport pekat på en rad åtgärder som är viktiga i detta sammanhang. Centralt är att s.k. öppen behörighetstilldelning – som innebär att personal får tillgång till i stort sett all information – inte bör förekomma i omfattande journalsystem. I stället förordas att vårdgivare har behörighetssystem där man på central nivå analyserar vilka behov varje befattningshavare har och varierar behörigheten för tillgång till information därefter. Effektiva och regelbundna rutiner för kontroll av loggar är av avgörande betydelse för integritetsskyddet; såväl för dess avhållande verkan som för att det är ett verktyg att i efterhand spåra upp och konstatera ett otillåtet intrång. Bland andra åtgärder som Datainspektionen lyfter fram kan nämnas system för säker identifiering av användare, tydliga och säkra rutiner för personuppgifter som är skyddade i det att de omfattas av en sekretessmarkering hos Skatteverket. En sammanfattande slutsats i Datainspektionens rapport är att variationerna är stora såväl mellan som inom de inspekterade landstingen angående hur man tagit sig an de nämnda och andra frågeställningar som tas upp i rapporten. Enligt Datainspektionen är det otillfredsställande från integritetssynpunkt att patientuppgif-
ter hanteras så pass olika såväl över landet som inom ett och samma landsting.
Vi instämmer i allt väsentligt i de synpunkter som Datainspektionen framfört i rapporten, inte minst när det gäller behovet av nationell enhetlighet i personuppgiftsbehandlingen i stora elektroniska informationssystem som täcker in stora delar av en vårdgivares totala patientdokumentation. Ett problem är emellertid svårigheterna att åstadkomma denna enhetlighet lagstiftningsvägen.
Självklart behövs en blandning av preventiva och reaktiva åtgärder för att patientuppgifter inte skall hanteras på ett oacceptabelt sätt. Patientdatalagen skall emellertid tillämpas av hela det spektrum av olika slags verksamheter som bedrivs av små och stora vårdgivare och som täcks in i begreppet hälso- och sjukvård. Detsamma gäller de bestämmelser som bara rör journalföring, som skall kunna tillämpas också av dem som även framgent för en manuell journal eller i ett elektroniskt journalföringsprogram av blygsam omfattning. Det är därför knappast möjligt att i lagen formulera alla de krav som bör ställas på olika slags verksamheter. Det finns också en risk för att detaljerade bestämmelser i lag visar sig olämpliga på sikt på grund av t.ex. en strukturell eller teknisk utveckling inom områden som inte nu kan överblickas. Vi menar således att möjligheterna att lagstifta om olika åtgärder är begränsade.
En mer lämplig väg att gå är att regleringen sker på en lägre nivå, där möjligheterna är större att anpassa kraven till de aktuella och organisatoriska eller informationstekniska behov och förutsättningar som finns. Berörda myndigheter bör därför utrustas med tydliga krav och befogenheter att meddela närmare föreskrifter i frågor som rör den inre sekretessen. Såsom framgått av avsnitt 10.4.10 kommer regeringen (och efter vidaredelegation Socialstyrelsen) även i fortsättningen att kunna meddela föreskrifter om journalhandlingars hantering och förvaring på samma sätt som gäller i dag. Men även med sådana föreskrifter kommer det att ligga ett ansvar på vårdgivare att utveckla goda rutiner och adekvata metoder för uppfyllande av de mål och krav som följer av författningarna. Häri ingår bl.a. ett ansvar för att genom utbildning och på annat sätt tillse att personalen är på det klara med vad som gäller i fråga om hanteringen av uppgifter om patienter. Obefogat röjande av uppgifter och intrång i journaler kan knappast undvikas om personalen inte har denna kunskap. Vidare kan inte nog understrykas att det ingår i vårdgivarnas ansvar att kontinuerligt följa upp att utarbetade rutiner och interna regler verkligen tillämpas av personalen i den vardagliga verksamheten. Det
kan exempelvis gälla sådana självklara rutiner som att en arbetstagare, som är inloggad på en dator, skall låsa datorn då han eller hon tillfälligt lämnar datorn utom kontroll eller att man vid ett patientbesök inte låter journalanteckningar avseende en annan patient vara läsbara på bildskärm. Att sådant beteende ändå ibland förekommer – trots att det uppenbart står i direkt strid mot bestämmelsen i 7 § patientjournallagen om hur patientjournaler skall hanteras eller mot sekretesslagen – är ett exempel som väl illustrerar att lagstiftning inte räcker utan måste byggas på med för konkreta verksamheter anpassade interna rutiner och regelverk.
När det gäller vad som faktiskt bör regleras i lag i fråga om inre sekretess gör vi följande bedömning.
Inledningsvis kan påpekas att vi instämmer i OSEK:s bedömning att det finns skäl att reglera den inre sekretessen i form av ett förbud mot att inom ett sekretessområde röja en uppgift som omfattas av sekretess, om det är uppenbart obehövligt för verksamheten. Vi tillstyrker därför förslaget men konstaterar att det systematiskt och lagtekniskt är mindre lämpligt att på endast ett delområde av hela den offentliga verksamheten särreglera en princip som egentligen torde gälla redan i dag inom hela den offentliga förvaltningen och i all synnerhet på hälso- och sjukvårdens område.
Vi konstaterar också att förslaget är långt ifrån tillräckligt för att åstadkomma ett tillfredsställande integritetsskydd när det gäller patientinformation inom hälso- och sjukvården. Vi noterar vidare att OSEK:s förslag endast gäller för den allmänna hälso- och sjukvården. Enligt vår uppfattning torde emellertid sådant röjande som OSEK:s förslag reglerar, kunna anses omfattas av det förbud mot obehörigt röjande som regleras i 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område. Därvid kan anmärkas att den nämnda bestämmelsen enligt sin ordalydelse inte är begränsad till röjanden eller utlämnanden till mottagare utanför en privat vårdgivares organisation. Möjligen kan tveksamhet uppstå angående den sistnämnda bestämmelsens räckvidd avseende den inre sekretessen vid en straffrättslig bedömning av om brott mot tystnadsplikt föreligger. Denna straffrättsliga aspekt ingår dock inte i vårt uppdrag och kan inte närmare behandlas i detta sammanhang. Mot bakgrund av det sagda avstår vi från att föreslå någon särbestämmelse om tystnadsplikt av här aktuellt slag för den enskilda hälso- och sjukvården.
När det gäller frågan hur man i patientdatalagen bör reglera hanteringen av och tillgängligheten till journaler och annan dokumentation om patienter kan man konstatera att redan de nuvarande
bestämmelserna i 7 § första stycket patientjournallagen och 8 § vårdregisterlagen egentligen uttrycker det man vill uppnå, nämligen att obehöriga inte får tillgång till den integritetskänsliga informationen och att en anställd inte skall ges åtkomst till elektroniska journaler m.m. i vidare omfattning än vad han eller hon behöver för sitt arbete.
I den komplexa hälso- och sjukvårdsverksamheten är det dock naturligt att sådana allmänt hållna bestämmelser ger utrymme för olika tolkningar. Frågan är i vad mån det går, med beaktande av det tidigare sagda, att förtydliga bestämmelserna på ett sätt som kan passa i alla de verksamheter vars informationshantering regleras av patientdatalagen. I det följande börjar vi med den reglering som behövs och som bör gälla både för manuellt och elektroniskt hanterad information. Därefter kommer våra överväganden när det gäller uteslutande elektronisk informationshantering.
Bestämmelser om inre sekretess avseende både manuellt och elektroniskt hanterade uppgifter
Vi menar att bestämmelsen i 7 § första stycket patientjournallagen om journalens hantering och förvaring är väsentlig för det inre sekretesskyddet. Bestämmelsen bör därför vara kvar men vidgas i sitt tillämpningsområde till att omfatta alla dokumenterade personuppgifter om en patient eller om annan enskild registrerad – t.ex. uppgifter i patientjournaler om anhöriga – som behandlas enligt patientdatalagen. Vi föreslår således en bestämmelse som uttryckligen anger detta. Som framkommit tidigare införs inte något förbud mot manuell journalföring eller annan manuell behandling av personuppgifter. Det är bl.a. därför relevant att i bestämmelsen tala om förvaring utöver hantering. Det kan noteras att bestämmelsen, även om den främst har betydelse för den inre sekretessen, inte enbart riktar sig mot obehöriga inom en vårdgivares organisation. Kravet på hanteringen och förvaringen gäller även i förhållande till övriga patienter och andra utomstående. Inom den allmänna hälso- och sjukvården följer detta redan av sekretesslagens och arkivlagens (1990:782) bestämmelser. För den enskilda hälso- och sjukvården finns dock ingen motsvarande reglering annat än den nämnda bestämmelsen i patientjournallagen.
Just när det gäller den inre sekretessen tror vi emellertid att det är till fördel – inte minst från pedagogisk synpunkt – att det klargörs
att en befattningshavare är behörig att ta del av patientuppgifter endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Med vård avses även undersökning och behandling. Förslaget motsvarar i stort Socialstyrelsens förslag till förtydligande med den skillnaden att vårt förslag inte begränsar sig enbart till hälso- och sjukvårdspersonal vid en enhet och dess arbete på enheten. Vårt förslag har en mer generell räckvidd och omfattar all personal oavsett var den tjänstgör och oavsett för vilka syften uppgifterna behövs, så länge som dessa syften gäller verksamhet som omfattas av patientdatalagens tillämpningsområde och särskilda ändamål, se avsnitt 7.3.2 och 8.2.3. Bestämmelsen är emellertid teknikoberoende och gäller för både manuell och elektronisk informationshantering alldeles oberoende av i vilken uppgiftssamling patientuppgifterna finns.
Tilldelning av behörighet för elektronisk åtkomst
Vad därefter gäller elektronisk dokumentation om patienter menar vi att det i lagen bör införas en bestämmelse som föreskriver ett ansvar för den verksamhetsansvariga vårdgivaren att närmare bestämma villkoren för personalens elektroniska åtkomst till uppgifter om patienter. Det kan påminnas om att vi med begreppet elektronisk åtkomst avser personalens möjligheter att elektroniskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation. Med begreppet direktåtkomst avses i patientdatalagen – till skillnad från i vårdregisterlagen – en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens organisation.
Behörighet för personalens elektroniska åtkomst till uppgifter om patienter skall begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Däri ligger bl.a. att behörigheter skall följas upp och förändras eller inskränkas efter hand som ändringar i den enskilde befattningshavarens arbetsuppgifter ger anledning till det Bestämmelsen motsvarar i princip 8 § vårdregisterlagen. Syftet med bestämmelsen är att inpränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Men det behövs inte bara behovsanalyser. Även riskanalyser måste göras där man tar hänsyn till olika slags risker som
kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Skyddade personuppgifter som är sekretessmarkerade, uppgifter om allmänt kända personer, uppgifter från vissa mottagningar eller medicinska specialiteter är exempel på kategorier som kan kräva särskilda riskbedömningar.
Generellt sett kan sägas att ju mer omfattande ett informationssystem är, desto större mängd olika behörighetsnivåer måste det finnas. Avgörande för beslut om behörighet för t.ex. olika kategorier av hälso- och sjukvårdspersonal till elektronisk åtkomst till uppgifter i patientjournaler, bör vara att behörigheten skall begränsas till vad befattningshavaren behöver för ändamålet en god och säker patientvård. En mer vidsträckt eller grovmaskig behörighetstilldelning bör – även om den skulle ha poänger utifrån effektivitetssynpunkt – anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras. Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individorienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda patienter bör på detta område kunna vara starkt begränsad till enstaka personer.
Att i generella termer reglera hur behörighetstilldelning till hälso- och sjukvårdspersonal och andra befattningshavare bör utformas ter sig dock inte möjligt, i vart fall inte lagstiftningsvägen. Närmare riktlinjer och föreskrifter bör emellertid kunna meddelas på myndighetsnivå. Enligt vår uppfattning bör det ankomma på Socialstyrelsen att efter samråd med Datainspektionen meddela föreskrifter i ämnet. Genom mera detaljerade föreskrifter i dessa avseenden torde man kunna råda bot på de brister i enhetlighet vid personuppgiftsbehandling som bl.a. Datainspektionen pekat på i sin tidigare nämnda rapport.
Vid sammanhållen journalföring bör behörighet tilldelas enligt samma principer, nämligen att varje vårdgivare prövar sin personals elektroniska åtkomst till andra vårdgivares vårddokumentation som finns tillgänglig för vårdgivaren i den sammanhållna journalföringen. Det är enligt vår uppfattning den mest rimliga lösningen, eftersom
det är denna vårdgivare som utåt sett bör ansvara för vad den egna personalen gör.
Liksom tidigare ingår det i vårdgivarens ansvar för behörighetstilldelningen att tillse att den enskilde befattningshavaren får information om innebörden av behörigheten. Det behöver emellertid inte särskilt föreskrivas i lagen.
Kontroll av elektronisk åtkomst
Enligt både patientjournallagen och vårdregisterlagen följer ett ansvar för den verksamhetsansvariga vårdgivaren att självmant följa upp hur behörighetssystem fungerar och i vad mån obehörig intern åtkomst skett. Såsom bl.a. påtalats i Datainspektionens rapport och som framkommit i andra sammanhang tycks flera vårdgivare inte vara helt införstådda med sina skyldigheter i dessa avseenden. Därför föreslår vi en uttrycklig bestämmelse om skyldighet för vårdgivaren att dokumentera all elektronisk åtkomst. Åtkomsten (den s.k. behandlingshistoriken eller loggen) blir därigenom möjlig att kontrollera i efterhand. Såvitt vi erfarit är detta en ordning som redan tillämpas i praktiken när det gäller elektroniska journal- och patientadministrativa system inom hälso- och sjukvården.
Det räcker dock inte att bara göra uppföljningskontroller i särskilda fall då man misstänker obehörigt intrång, t.ex. därför att patienten är en allmänt känd person. Vårdgivarna bör därför åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Vi föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna konstateras och beivras. Bestämmelsen bör också få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter. Av samma skäl som nämnts i det föregående bör även i dessa frågor närmare föreskrifter meddelas på myndighetsnivå. Med tanke på Socialstyrelsens ställning som central förvaltningsmyndighet för hälso- och sjukvårdsverksamhet, anser vi att denna myndighet lämpligen bör ansvara för att föreskrifter meddelas, dock efter samråd med Datainspektionen. Sådana föreskrifter bör omfatta inte bara hur kontroller skall utföras utan också kunna närmare reglera omfattningen av åtkomstdokumentation och hur länge den skall sparas. Föreskrifter bör t.ex. kunna innehålla bestämmelser inte bara att det av loggen skall framgå när
och av vem en slagning skett i ett elektroniskt system utan t.ex. även när en utskrift från en journalhandling gjorts eller, vid sammanhållen journalföring, när en kopia av en journalhandling laddats ned eller annars lagrats av en vårdgivare som använt sin direktåtkomst till annan vårdgivares journalhandling.
En rätt för patienten att få information om direktåtkomst och elektronisk åtkomst
Det har i olika sammanhang anförts att den enskilde patienten bör ha möjligheter att själv kontrollera vilken åtkomst som förekommit till uppgifter om honom eller henne i elektroniska journaler. I flera av de projekt som nu pågår, t.ex. i projektet Nationell patientöversikt, planerar man att patienten själv skall kunna via sin direktåtkomst följa upp åtkomsten. Det förekommer också att åtkomsthistorik i form av logglistor lämnas ut på papper till patienter som begärt detta.
Inom den allmänna hälso- och sjukvården utgör logglistorna allmänna handlingar som patienter kan begära utlämnade med stöd av 2 kap. tryckfrihetsförordningens bestämmelser. Någon sekretess torde normalt inte kunna anföras som skäl mot att lämna ut sådana listor. De allmänna handlingar om åtkomsthistorik som skapas i informationssystemen kan emellertid vara ganska svårlästa för en lekman. Varken tryckfrihetsförordningen eller någon annan reglering (t.ex. 15 kap.4 eller 12 §§sekretesslagen eller 4 § förvaltningslagen [1986:223]) garanterar patienten en rätt att få information om åtkomsthistoriken som är bearbetad på sådant sätt att informationen om direktåtkomsten och den elektroniska åtkomsten presenteras i en för patienten begriplig och tillrättalagd form. Inte heller utgör denna typ av uppgifter sådan information som en personuppgiftsansvarig myndighet är skyldig att på begäran lämna till registrerade patienter enligt 26 § personuppgiftslagen.
Någon rätt för patienter att få logglistor från den enskilda hälso- och sjukvården finns inte.
Vi är övertygade om att allmänhetens förtroende för hälso- och sjukvårdens informationshantering förstärks, om den enskilde får klar och tydlig information om vilken åtkomst som förekommit till uppgifter om honom eller henne. Bara vetskapen om att man som patient har den möjligheten, skulle troligen innebära en tillräcklig trygghet för flertalet patienter i fråga om att deras personliga in-
tegritet skyddas i verksamheten. För den patient som oroar sig för t.ex. nyfikenhet hos en släkting eller en bekant som arbetar på en annan avdelning än den där patienten vårdas, är bearbetade logglistor med förklaringar givetvis ett utmärkt verktyg att själv kunna konstatera om oron varit befogad. Liksom när det gäller förslaget om att åtkomstkontroller skall göras systematiskt och fortlöpande, torde vetskapen om patientens rätt att själv kontrollera åtkomsten ha en starkt avhållande verkan.
Vi föreslår därför en bestämmelse om att patienter skall ha rätt att på begäran få information om vilken direktåtkomst och elektronisk åtkomst till uppgifter om honom eller henne som förekommit. Bestämmelsen bör omfatta både den allmänna och enskilda hälso- och sjukvården. Vi vill här poängtera att vårt förslag är en informationsbestämmelse och alltså inte detsamma som patientens rätt enligt tryckfrihetsförordningen att begära ut en allmän handling, en logglista, hos myndigheter inom hälso- och sjukvården eller att på begäran få uppgifter ur allmän handling enligt 15 kap. 4 § sekretesslagen.
Exakt vad informationen skall innehålla och hur eller hur ofta den skall lämnas bör inte närmare regleras i lag utan av regeringen eller, efter vidarebemyndigande, av Socialstyrelsen efter samråd med Datainspektionen. Enligt vår uppfattning är det väsentligt att den information som lämnas är begriplig och vägledande för patienten när han eller hon själv skall bilda sig en uppfattning om huruvida åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet en slagning skett. Vid sammanhållen journalföring bör vidare varje vårdgivare kunna redovisa vilken åtkomst till den egna verksamhetens journaluppgifter som förekommit från andra vårdgivare. Även dessa andra mottagande vårdgivare bör kunna redovisa när direktåtkomsten använts. Detta får som sagt närmare behandlas i myndighetsföreskrifter.
Det bör påpekas att förslaget om patientens rätt att få information om åtkomst inte på något sätt befriar vårdgivaren från ansvaret att självmant följa upp hur behörighetssystemet fungerar och i vad mån obehörig intern (likväl som extern) åtkomst förekommit.
Inre spärrar
Under utredningsarbetet har vi inhämtat att det förekommer bland en del vårdgivare att patienter som så önskar kan begära att journaluppgifter spärras från elektronisk tillgänglighet utanför en avdelning,
klinik eller motsvarande. Enligt uppgift förekommer dock sällan att patienter begär detta. Patientens möjlighet i detta avseende är, som vi ser det, helt i linje med de grundläggande principerna som slås fast i 2 a § hälso- och sjukvårdslagen om att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Såsom anförts tidigare har dessa grundprinciper bäring även på hanteringen av information om patienten. Bestämmelsen anses t.ex. föra med sig att det är ett naturligt inslag i vården att patientens samtycke inhämtas till att en journalhandling lämnas vidare till en annan vårdenhet (prop. 1990/91:111 s. 24). JO har i ett äldre utlåtande, JO 1986/87 s. 198, uttalat att det följer av den angivna bestämmelsen i hälso- och sjukvårdslagen att en patients uttryckliga önskemål om att journaler inte lämnas till andra kliniker på samma sjukhus skall respekteras utom i rena nödsituationer.
Enligt vår uppfattning finns inget skäl att göra avsteg från dessa principer, bara därför att ny teknik gör det möjligt att öka patientsäkerheten genom en breddad tillgänglighet till journaluppgifter. Tvärtom, menar vi, är det en förtroendefråga att regleringen av personuppgiftsbehandlingen står i samklang med dessa principer. Så är dock inte fallet i dag. Varken vårdregisterlagen eller personuppgiftslagen ger patienten något inflytande över tillgängligheten till hans eller hennes patientjournal inom en vårdgivares verksamhet.
Vi menar att mot bakgrund inte minst av den utveckling som pågår inom många landsting med en centraliserad myndighetsstruktur och mot allt större, ibland landstingsgemensamma journalsystem, finns det ett påkallat behov av en förbättring i detta avseende. För en del patienter kommer det inte att räcka med en möjlighet att i efterhand kontrollera vilken åtkomst som förekommit. De bör ha en möjlighet att motsätta sig att journaluppgifter eller annan vårddokumentation görs elektroniskt tillgängliga för andra vårdenheter alternativt vårdprocesser än den vid vilken han eller hon vårdas under en specifik vårdepisod. I annat fall kan man inte utesluta att patienter håller inne med känslig men viktig information av rädsla för att informationen sprids eller, i värsta fall, att enskilda drar sig för att uppsöka hälso- och sjukvården. Man kan inte heller helt utesluta att enskilda yrkesutövare av hänsyn till patienten börjar föra anteckningar vid sidan av journalen, om det inte finns möjligheter att spärra uppgifterna för läsbarhet utanför en snävare krets av hälso- och sjukvårdspersonalen. Sådan parallell ”sidojournalföring” bör inte få förekomma, eftersom det i förlängningen skulle få negativa återverk-
ningar på patientsäkerheten. Vi föreslår således en bestämmelse som slår fast de principer som uttrycks i den anförda bestämmelsen i 2 a § hälso- och sjukvårdslagen när det gäller elektronisk tillgänglighet inom en vårdgivares individinriktade patientverksamhet.
Den av oss föreslagna bestämmelsen motsvarar patientens opt outmöjlighet i fråga om tillgängliggörande av journaluppgifter för andra vårdgivare vid sammanhållen journalföring, se avsnitt 11.3.3 för en närmare beskrivning av innebörden av opt out-möjligheten.
Med patientens samtycke skall dessa s.k. inre spärrar få hävas av en behörig befattningshavare vid en annan vårdenhet eller vårdprocess som patienten besöker. Det följer i och för sig redan av bestämmelsen som föreslagits i avsnitt 8.5 om verkan av att patienten samtycker till en personuppgiftsbehandling i strid mot de uttryckliga bestämmelserna i patientdatalagen. Patienten skall också kunna vända sig till vårdgivaren och begära en mer varaktigt hävning. Detta bör regleras uttryckligen. Vidare föreslår vi att spärren skall kunna forceras från en annan enhet, t.ex. akuten, om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver och ett samtycke inte kan inhämtas, t.ex. därför att patienten är medvetslös, omtöcknad eller liknande och situationens allvar motiverar en forcering.
Liksom i fråga om den sammanhållna journalföringen handlar den inre spärren inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika kliniker eller olika sjukhus m.m. hos en och samma vårdgivare. Det sagda reglerar bara sättet för utbytet; elektronisk åtkomlighet. Några nya interna sekretessgränser föreslås alltså inte. Spärrarna innebär alltså inget hinder mot att personal vid olika vårdenheter eller vårdprocesser tar kontakt med varandra på motsvarande sätt som i dag sker när t.ex. en vårdcentral behöver uppgifter från ett sjukhus inom samma landsting och man inte har elektronisk åtkomst till sjukhusets journalsystem. I dessa fall får frågan avgöras på motsvarande sätt som i dag sker, dvs. med tillämpning av bl.a. de ovan berörda principerna i hälso- och sjukvårdslagen. Till skillnad från när det gäller elektronisk åtkomst är det dock befattningshavare vid den vårdenhet eller vårdprocess som sitter på informationen som har att göra denna bedömning, inte befattningshavare vid den enhet eller motsvarande som anser sig behöva informationen.
Inte heller ges patienten genom förslaget en rätt att hindra vårdgivaren från att använda uppgifter om honom eller henne vid t.ex. uppföljning och kvalitetssäkring av den egna verksamheten. Som
sagts ovan torde dock, vid denna användning, åtkomsten till direkt utpekande personuppgifter vara mycket begränsad.
Precis som vid sammanhållen journalföring bör det få framgå i det elektroniska informationssystemet att det finns vårddokumentation som är spärrad. Med tanke bl.a. på att de inre spärrarna inte är lika absoluta som spärrar vid sammanhållen journalföring – i nödlägen och liknande skall inre spärrar kunna forceras av behöriga befattningshavare hos vårdgivaren – bör det av varje spärr få framgå vilken vårdenhet eller vårdprocess spärren avser. I annat fall torde det nästan vara omöjligt för en behörig befattningshavare att bedöma om spärrad information kan antas ha betydelse för vården eller inte.
Vi är medvetna om att det är oklart vad som exakt menas med begreppen vårdenhet respektive vårdprocess. I Socialstyrelsens Termbank definieras vårdenhet som ”organisatorisk enhet som tillhandahåller hälso- och sjukvård”. Det anmärks att varje huvudman avgör avgränsningen i det enskilda fallet. Vårdprocess definieras i Termbanken som ”följd av aktiviteter eller åtgärder som utförs för en patient, avseende ett visst hälsoproblem, mellan inkommen vårdbegäran och avslag av vårdbegäran eller avslut av vårdåtagande”. Avgränsningen av en vårdprocess är således funktionell och inte organisatorisk såsom beträffande vårdenhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som tillsammans bildar en funktionell helhet.
I hälso- och sjukvårdens oerhört stora och varierande verksamhet finns dock inga andra klart avgränsade begrepp som är användbara inom alla slags verksamheter. Att i lag närmare definiera vad som generellt avses med en enhet eller en process är inte möjligt som vi ser det. Samtidigt tror vi inte att det i den praktiska tillämpningen kommer att innebära svårigheter att dra upp dessa alternativa gränser.
Många privata vårdgivare bildar en enda enhet. Men det gäller förstås inte för alla. Praktikertjänst AB är ett exempel på en vårdgivare som bedriver verksamhet på många mottagningar spridda över landet. Dessa bör ses som olika enheter. Inom den allmänna hälso- och sjukvården anser vi att det är naturligt att t.ex. varje vårdcentral ses som en enhet. Däremot bör inte ett sjukhus ses som en enda enhet i det sammanhang som här är i fråga. Mera rimligt är att dra en gräns mellan olika slags kliniker. Det får förutsättas att hälso- och sjukvården hittar lämpliga avgränsningar mellan vårdenheter respektive vårdprocesser. Vi vill poängtera att det enligt vårt förslag är vårdgivaren som på förhand har att definiera vilka vårdenheter alter-
nativt vårdprocesser som finns inom vårdgivarens individinriktade hälso- och sjukvård och, därmed, vilka spärrar som kan tillhandahållas. Det krävs alltså inte att vårdgivare skall kunna tillmötesgå varje patients individuella önskemål.
Förslagen om patientens rätt att spärra information innebär förstås ingen inskränkning av det tidigare sagda om vårdgivarnas skyldigheter att utifrån bl.a. behovs- och riskanalyser begränsa den elektroniska tillgängligheten till elektroniska patientuppgifter inom sin verksamhet. Patientens rätt till inre spärrar utgör bara ett komplement till vårdgivarnas ansvar härvidlag.
Det har diskuterats i utredningen att bestämmelsen om patientens rätt till inre spärr kan komma att missbrukas av vissa kategorier av patienter eller deras anhöriga. Ett exempel är att hälso- och sjukvården inte kan utnyttja införandet av stora sjukhusgemensamma eller myndighetsgemensamma journal- och patientadministrativa system för att identifiera sådana barn som man tror vansköts eller misshandlas av sina föräldrar. För det fall föräldrar systematiskt begär att uppgifter om ett skadat barn spärras, missar hälso- och sjukvårdspersonalen vid nya skador och nya akutbesök att sätta dessa i samband med tidigare vårdtillfällen som dokumenterats vid andra enheter tillhöriga samma myndighet. Hälso- och sjukvårdens möjligheter att uppfylla sin uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen försvåras därigenom. Ett annat exempel är förskrivning av narkotiska läkemedel där systemet med inre spärrar kan utnyttjas av en missbrukande patient som besöker olika vårdcentraler eller andra enheter.
Med tanke på att det är en bit kvar innan heltäckande journalsystem för all journalföring blir vanliga hos stora myndigheter inom den landstingsbedrivna vården, är vi tveksamma till om vårt förslag om inre spärr innebär någon verklig försämring jämfört med de möjligheter man i realiteten har i dag när det gäller att identifiera utsatta patientkategorier såsom misshandlade barn eller läkemedelsmissbrukare. Vi har inte heller haft någon möjlighet att inom ramen för vårt uppdrag närmare kartlägga omfattningen av vilka problem det i dag finns på detta område. Vidare är det inte alldeles lätt att överblicka vilka konsekvenser ett undantag från rätten att spärra vårddokumentation kan få. Exempelvis kan en moder, som är förföljd och utsatt för hot, tänkas avstå från att uppsöka hälso- och sjukvården av rädsla för att uppgifter om barnet, och därmed indirekt om henne, sprids till andra vårdenheter inom ett landsting. Det kan inte uteslutas att just möjligheten till inre sekretess är avgörande för
deras kontakt med hälso- och sjukvården och för att barnet skall få erforderlig vård och behandling.
Frågorna är alltså komplexa och vihar därför inte funnit skäl att föreslå undantag för viss slags vårddokumentation som inte skulle få lov att spärras av patienten eller dennes vårdnadshavare. Utvecklingen och hanteringen måste emellertid följas upp noga med bl.a. detta för ögonen och vi utesluter inte att det kan framkomma skäl att göra en annan bedömning än den vi gjort. Det får i så fall behandlas i ett annat sammanhang. Det kan dock noteras att det enligt vårt förslag kommer att framgå vilka olika inre spärrar som finns samt även vilken vårdenhet eller vårdprocess varje spärr avser. Redan den informationen kan i många fall vara en varningssignal i de fall som här avses. Finns t.ex. ovanligt många spärrade uppgifter avseende ett litet barn från olika akutmottagningar torde det kunna leda till särskilda åtgärder för det fall att misstanke om barnmisshandel uppstår.
Avslutande anmärkningar
Merparten av de bestämmelser som föreslagits i det föregående bör tas in i ett eget kapitel i patientdatalagen som handlar om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet. Vi återkommer i författningskommentaren till den närmare utformningen av regleringen, se avsnitt 21.
I avsnitt 18.1 kommer vi att behandla vilken allmän information som personuppgiftsansvariga skall ge till patienter. Det är förstås väsentligt att informationen omfattar rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit samt rätten att begära en inre spärr av vårddokumentation. I avsnitt 20 behandlas frågan om våra förslag till reglering av den inre sekretessen medför ekonomiska och andra konsekvenser m.m. för offentliga och privata vårdgivare. Redan här vill vi emellertid påtala att de förslag vi lämnat om patientens rätt att begära inre spärrar, förvisso kan komma att innebära ett visst administrativt arbete för vårdpersonalen som står i proportion till i vilken omfattning rätten kommer att utnyttjas utöver de ”spärrar” i form av tillgänglighetsbegränsningar som blir ett resultat av vårdgivarens egna behörighetstilldelningar. Vi förutsätter emellertid att informationssystemen kan utformas på sätt som minimerar vårdpersonalens arbete med inre spärrar till enkla och inte tidskrävande åtgärder.
13. Direktåtkomst för patienten
13.1. Inledning
I vårt uppdrag ingår att se över möjligheterna för patienten att via Internet få ta del av uppgifter om sig själv. Denna fråga behandlar vi i avsnitt 13.3. Vi börjar dock med att i avsnitt 13.2 behandla patientjournallagens (1985:562) bestämmelser om patientens rätt att ta del av sin journal.
13.2. Patientens rätt att ta del av sin journal
Våra förslag: I fråga om skyldigheten för en myndighet inom allmän hälso- och sjukvård att till patienten lämna ut journalhandlingar och andra handlingar och uppgifter görs i patientdatalagen en hänvisning till bestämmelserna i tryckfrihetsförordningen och sekretesslagen.
Patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård förs över oförändrade till patientdatalagen.
Inom den allmänna hälso- och sjukvården regleras patientens rätt att ta del av sin journal och andra handlingar och uppgifter av tryckfrihetsförordningen och sekretesslagen (1980:100). Till dessa författningar hänvisar 15 § patientjournallagen såvitt gäller journalhandlingar inom den allmänna hälso- och sjukvården.
Av tryckfrihetsförordningen och sekretesslagen följer att en patient i princip alltid har rätt att ta del av uppgifter om sig själv. Undantag gäller dock för uppgifter om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne, 7 kap. 3 § sekretesslagen. Vidare gäller undantag för anmälan eller annan utsaga av enskild om patientens hälsotillstånd eller andra personliga
förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs för patienten, 7 kap. 6 § sekretesslagen.
I den mån något undantag inte är tillämpligt, skall journalen på begäran lämnas ut till patienten. Om ett undantag är tillämpligt endast för delar av journalen, skall journalen lämnas ut i övriga delar.
I 2 kap.12 och 13 §§tryckfrihetsförordningen anges närmare när och på vilket sätt journalen skall lämnas ut. Av dessa bestämmelser följer bl.a. att utlämnande skall ske genast eller så snart som möjligt och att patienten har rätt att få en avskrift eller kopia av journalen. Det finns däremot ingen skyldighet att lämna ut journalen i elektronisk form, eftersom en sådan skyldighet inte är föreskriven i lag. Patienten har dock rätt att få en utskrift av journalen.
En begäran att få ta del av journalen skall göras hos den myndighet där journalen förvaras och skall prövas av denna, 2 kap. 14 § tryckfrihetsförordningen. Om begäran avslås får sökanden föra talan mot beslutet hos domstol, 15 kap. 7 § sekretesslagen.
I 16 § första stycket patientjournallagen finns särskilda bestämmelser om rätten att få del av journaler inom den enskilda hälso- och sjukvården. När det gäller patienters rätt föreskrivs att en journalhandling skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Sistnämnda bestämmelser motsvarar de ovan redovisade bestämmelserna i 7 kap.3 och 6 §§sekretesslagen om när sekretess gäller i förhållande till den enskilde. Inte heller inom den enskilda hälso- och sjukvården har alltså patienten rätt att ta del av uppgifter om sig själv, om det av hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att så inte sker (2 kap. 8 § andra stycket). Inte heller har patienten rätt att ta del av uppgifter i journalen om sitt hälsotillstånd eller andra personliga förhållanden, som anmälts eller lämnats i utsaga av annan person, om det kan antas att det finns en risk att den som lämnat uppgiften eller någon närstående till uppgiftslämnaren utsätts för våld eller annat allvarligt men om uppgiften röjs för patienten (2 kap. 9 § första stycket).
Frågor om utlämnande av en journalhandling prövas av den som är ansvarig för patientjournalen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.
Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att journalen förs. Om den som ansvarade för journalen vid behandlingstillfället inte längre tjänstgör, får hans eller hennes efterträdare i verksamheten regelmässigt anses ha övertagit ansvaret för journalen (prop. 1984/85:189 s. 48).
Bestämmelsen i 16 § första stycket patientjournallagen gäller journalhandlingar. När det gäller övriga uppgifter som kan finnas registrerade om en patient inom enskild hälso- och sjukvård har patienten rätt att i vissa fall få ett s.k. registerutdrag enligt 26 § personuppgiftslagen (se vidare avsnitt 18.1).
Om en patient har rätt att ta del av sina journaluppgifter, kan även en behörig ställföreträdare för denne, t.ex. ett ombud med fullmakt, få tillgång till uppgifterna. Det finns dock förslag, och sedan den 1 juli 2006 även en lag, som skall begränsa enskildas möjligheter att ge andra fullmakt att ta del av deras journaler.
Som redovisats i avsnitt 10.4.3. är det vanligt i försäkringsärenden att försäkringsbolag med stöd av fullmakt från patienter begär in kompletta patientjournaler direkt från hälso- och sjukvården. I departementspromemorian Försäkringsbolags tillgång till patientjournaler (Ds 2005:13) föreslås att denna möjlighet skall begränsas genom en ny förordning om begränsat utnyttjande av fullmakter på försäkringsområdet. Enligt förslaget skall försäkringsbolag inte få begära fullmakt som innebär att den som skall försäkras enligt en personförsäkring lämnar sitt samtycke till att bolaget inhämtar kompletta patientjournaler. Bolagets behov av information om hälsan hos den som skall försäkras skall i stället tillgodoses genom preciserade frågor som läkare och andra behöriga uppgiftslämnare besvarar genom intyg eller bearbetade journalutdrag. Detsamma skall gälla vid försäkringsbolagens skadereglering på grund av inträffade försäkringsfall samt när försäkringsbolagen i annat fall begär fullmakt från en enskild. Motsvarande ordning skall gälla även vid reglering av personskador enligt en skadeförsäkring och oavsett om det är den försäkrade eller tredje man som har skadats. I promemorian anges att det ankommer på Finansinspektionen att, inom ramen för sin tillsyn över det enskilda försäkringsväsendet, bevaka att försäkringsbolagen iakttar förbudet.
Enskildas möjligheter att samtycka till att andra tar del av deras journaluppgifter avseende genetisk information, dvs. information om resultatet av en genetisk undersökning, begränsas genom lagen (2006:351) om genetisk integritet m.m., vilken trädde i kraft den
1 juli 2006. Lagen innehåller bl.a. olika förbud mot att använda genetiska undersökningar och genetisk information som tagits fram inom hälso- och sjukvården och medicinsk forskning för ändamål utanför hälso- och sjukvården.
Enligt 2 kap. 1 § första stycket lagen om genetisk integritet m.m. får ingen utan stöd i lag ställa som villkor för ett avtal att den andra parten skall genomgå en genetisk undersökning eller lämna genetisk information om sig själv. Förbudet gäller alla slags avtal, såsom anställnings- och uppdragsavtal, försäkringsavtal, kredit- och låneavtal, hyresavtal osv. Förbudet gäller dock inte på familjerättens område. Den som bryter mot förbudet döms till böter eller fängelse i högst sex månader, om inte gärningen är belagd med strängare straff i brottsbalken.
Enligt andra stycket i samma paragraf får ingen utan stöd i lag i samband med avtal efterforska eller använda genetisk information om den andre. För försäkringsbolag gäller undantag från förbudet vid riskbedömda personförsäkringar på mycket höga belopp. Liksom beträffande det föregående förbudet gäller detta förbud inte på familjerättens område.
Våra överväganden
Vi har tidigare föreslagit att patientdatalagen skall innehålla ett särskilt kapitel om rättigheter för den enskilde. Bestämmelser om patientens rätt att ta del av sin journal bör tas in i det kapitlet. Något skäl att ändra nuvarande reglering av denna rättighet har inte framkommit.
Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient följer, såsom tidigare sagts, av bestämmelserna i tryckfrihetsförordningen och sekretesslagen. Detta bör enligt vår uppfattning framgå av patientdatalagen. Vi föreslår därför att det i patientdatalagen görs en hänvisning till bestämmelserna i tryckfrihetsförordningen och sekretesslagen.
När det gäller patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård kan dessa föras över oförändrade till patientdatalagen.
13.3. Direktåtkomst för patienten
Vårt förslag: En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation (se avsnitt 8.2.3). Den enskilde får under samma förutsättningar medges direktåtkomst till dokumentation avseende elektronisk åtkomst till uppgifter om den enskilde (logglistor).
Regeringen, eller den myndighet som regeringen bestämmer, bemyndigas att meddela föreskrifter om de krav på säkerhetsåtgärder som skall gälla vid sådan direktåtkomst.
Inledning
Vi har i avsnitt 8.7 föreslagit att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara skall få förekomma i den utsträckning som anges i lag eller förordning. I det här avsnittet behandlar vi frågan om det bör vara tillåtet för patienter att få direktåtkomst till uppgifter om sig själva.
Vi hänvisar till avsnitt 8.7 när det gäller vad vi avser med begreppet direktåtkomst.
Dagens reglering
Av 2 kap. 13 § tryckfrihetsförordningen följer att en vårdgivare inom den allmänna hälso- och sjukvården inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift. Någon sådan skyldighet finns inte föreskriven beträffande patientjournaler. Den nämnda bestämmelsen innebär dock inte något förbud för vårdgivare att lämna ut en patientjournal i elektronisk form. Andra bestämmelser, t.ex. registerförfattningar, kan dock hindra ett sådant utlämnande (prop. 2001/02:70 s. 39).
Patientjournallagen innehåller inte något förbud mot utlämnande av journaluppgifter i elektronisk form. Förs en patientjournal elektroniskt innebär det att den ingår i ett vårdregister och omfattas av bestämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen). Dessa bestämmelser gäller oavsett om patientjournalen förs inom den allmänna eller den enskilda hälso- och sjukvården.
Enligt 8 § vårdregisterlagen får endast den som behöver tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåtkomst till uppgifter i ett vårdregister. Datainspektionen
TPF
1
FPT
och Länsrätten i
Stockholms län
TPF
2
FPT
har med anledning av att Landstinget i Uppsala län
erbjudit patienter möjlighet till direktåtkomst till uppgifter om dem själva i vårdregister via Internet (se avsnitt 3.3) uttalat att vårdregisterlagen inte medger att enskilda har sådan direktåtkomst.
Våra överväganden
Användningen av Internet blir allt mer utbredd i Sverige och allt fler använder sig av elektroniska tjänster. Inom hälso- och sjukvården kan patienter söka information om sjukdomar och behandlingar via Internet, t.ex. på hälsowebbplatsen Sjukvårdsrådgivningen.se som ägs av samtliga landsting och Apoteket AB. I flera landsting kan patienter boka tider, förnya recept eller ställa frågor via Internet. Mot bakgrund av den ökade Internet-användningen framstår det, enligt vår uppfattning, som naturligt att patienter ges möjlighet att få direktåtkomst till sådana patientuppgifter som får lämnas ut till dem. I två landsting pågår dessutom projekt där patienter via Internet ges direktåtkomst till sina patientuppgifter. (Se vidare avsnitt 3.3).
Önskemål om direktåtkomst till sina journaluppgifter har också framförts till oss från företrädare för ett antal patient- och anhörigorganisationer. Vidare visar den enkätundersökning som vi låtit Statistiska centralbyrån göra att 71 procent vill kunna ta del av sin patientjournal via Internet. Även om resultat från sådana undersökningar måste tolkas försiktigt, visar undersökningen att det finns ett stort intresse bland allmänheten att kunna ta del av sina journaluppgifter på detta sätt.
I Danmark kan enskilda sedan september 2005 via Internet ta del av vissa uppgifter om sina sjukhusbesök, t.ex. diagnoser och behandling. Uppgifterna finns registrerade i Sundhedsstyrelsens Landspatientregister. För att få tillgång till uppgifterna krävs att den enskilde har en digital signatur. Målsättningen är att enskilda i Danmark även skall få möjlighet att få tillgång till sina egna journaler. (Se vidare avsnitt 5.2.)
Patienter har genom bestämmelser i hälso- och sjukvårdslagen (1982:763) och lagen om yrkesverksamhet på hälso- och sjukvårdens
TP
1
PT
Se Datainspektionens beslut 2003-10-16, dnr 1569-2003
2
Se Länsrättens i Stockholms län dom 2004-10-12, mål nr 20776-03.
område getts rätt till information, delaktighet och medinflytande. Om det blir tillåtet för patienter att ha direktåtkomst till sina patientuppgifter, skulle de ges bättre möjligheter att aktivt delta i sin vård. De skulle t.ex. kunna vara mer informerade om sitt hälsotillstånd. Vidare skulle de kunna kontrollera att uppgifter som de lämnat till hälso- och sjukvårdspersonalen uppfattats på ett korrekt sätt. De skulle även kunna titta på resultat från provtagningar, vilket framför allt skulle spara tid för patienter som det regelbundet tas prover på och som ständigt behöver övervaka sitt sjukdomsförlopp. Direktåtkomst skulle också kunna vara ett sätt att låta journalen följa patienten genom att denne då kan låta en vårdgivare som han eller hon besöker för första gången ta del av uppgifterna.
Ett skäl som i diskussionen anförts mot att ge patienter direktåtkomst till sina journaluppgifter är att patienter som på egen hand tar del av sådana uppgifter kan missförstå dessa och t.ex. få uppfattningen att deras hälsotillstånd är sämre än vad det är. Av 5 § patientjournallagen följer emellertid – bl.a. med tanke på att patienten själv skall kunna läsa sin journal – att de journalhandlingar som upprättas inom hälso- och sjukvården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten. I specialmotiveringen framhålls att alla patienter inte har samma förutsättningar att förstå innebörden av en journalanteckning och att det därför är av största vikt, att den som svarar för anteckningen lägger sig vinn om att utforma den enkelt och lättförståeligt. Svåra och främmande ord bör så långt möjligt undvikas (prop. 1984/85:189 s. 42). Detta blir än viktigare om patienter ges direktåtkomst till sina journaluppgifter. Det finns givetvis en gräns för hur långt språket kan förenklas. En patientjournal utgör ju, som tidigare sagts, i första hand ett arbetsverktyg för hälso- och sjukvårdspersonalen och dess grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalföringen måste naturligtvis präglas av detta.
Det kan naturligtvis inträffa att en patient som har getts direktåtkomst till sina patientuppgifter och som på egen hand tar del av dessa missförstår uppgifterna. Det kan emellertid hända även i dag när en patient får en utskrift av sin journal och väljer att läsa denna på egen hand. Det får nämligen inte – annat än i undantagsfall – uppställas som villkor för utlämnande av en journal att en läkare finns med och förklarar innehållet (se JO 1985/86 s. 327 ff.). Risken för missförstånd kan i viss mån motverkas om vårdgivarna erbjuder de patienter som ges direktåtkomst till sina uppgifter möjlighet att få hjälp att tyda dem.
Ett annat skäl som har anförts mot att ge patienter direktåtkomst till sina patientuppgifter är risken för att patienterna utsätts för påtryckningar från t.ex. anhöriga eller blivande arbetsgivare att visa dem uppgifterna. Det går naturligtvis inte att helt bortse från risken att några patienter kan komma utsättas för sådana påtryckningar. En sådan risk finns emellertid redan nu. En person kan t.ex. förmå en äldre anhörig att ge honom eller henne fullmakt att begära ut journaluppgifter beträffande denne.
I dag ger lagen (2005:258) om läkemedelsförteckning en enskild möjlighet att ha direktåtkomst till uppgifter om sig själv i en läkemedelsförteckning. Även sådana uppgifter kan vara integritetskänsliga.
Vi är medvetna om att risken för att obehöriga genom t.ex. påtryckningar får del av patienters uppgifter kommer att öka om patienter på ett enkelt sätt ges möjlighet att få åtkomst till sina patientuppgifter. Ett sätt att begränsa denna risk är att göra uppgifterna inte alltför lätt tillgängliga. Uppgifter om en patient behöver ju inte med automatik finnas tillgängliga för denne via Internet enbart därför att en vårdgivare erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter. Tillgängligheten bör i stället förutsätta att patienten inledningsvis på något sätt framfört önskemål till vårdgivaren om att få direktåtkomst till sina uppgifter. Denna förutsättning kommer sannolikt även innebära att det framför allt är de lite mer intresserade patienterna som kommer att ha direktåtkomst till sina patientuppgifter. En framställan om ett önskemål förutsätter ju överväganden från den enskildes sida och ett aktivt handlande. Det ger även vårdgivaren tillfälle att informera patienten om t.ex. vart han eller hon kan vända sig för att få hjälp att tyda uppgifterna.
För tydlighetens skull kan tilläggas att vår tanke inte är att det skall krävas en formell ansökan från patienten som utmynnar i ett slags tillstånd. Alla patienter som framför önskemål till en vårdgivare som erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter skall alltså kunna få sådan åtkomst.
Det kan hävdas att ett förslag om att ge patienter direktåtkomst till sina patientuppgifter skulle i viss mån förta vad man vill uppnå i fråga om integritetsskydd med det lagförslag och den lag som redogjorts för i avsnitt 13.2. Det skulle nämligen kunna finnas risk för att patienter – i situationer då det inte längre skulle vara möjligt för andra att med fullmakt eller patienternas samtycke få ut uppgifter – utsätts för påtryckningar att elektroniskt ta fram uppgifter om sig själva.
I den tidigare nämnda departementspromemorian Försäkringsbolags tillgång till patientjournaler anges att man inte kan bortse från risken att försäkringsbolag även i andra fall än då t.ex. det för att försäkring överhuvudtaget skall kunna beviljas är av avgörande betydelse att försäkringsbolaget får del av kompletta journaler kan komma att ställa som krav att den som söker en försäkring, eller vid försäkringsfall den försäkrade, själv vänder sig till hälso- och sjukvården och inhämtar kompletta journaler för försäkringsändamål. Att försäkringsbolag på detta sätt begär tillgång till fullständiga journaler kan enligt promemorian vara att betrakta som ett avsiktligt kringgående av den förordade ordningen, men det kan också vara ett naturligt utslag för bolagens försiktighet, främst när det gäller att meddela individuella liv- eller sjukförsäkringar. I promemorian anges vidare (s. 157 f.):
Av 1 kap. 1 a § tredje stycket försäkringsrörelselagen framgår att försäkringsbolagen skall iaktta god försäkringsstandard. Bestämmelsen avser hela den verksamhet som försäkringsbolagen bedriver. Om utredningens förslag genomförs kan det enligt utredningens bedömning inte anses vara förenligt med god försäkringsstandard att försäkringsbolag annat än i ovan angivna undantagsfall begär att enskilda skall ge in kompletta journaler. Finansinspektionen har till uppgift att utöva tillsyn såväl med avseende på att de näringsrättsliga reglerna för försäkringsbolag följs som över att de civilrättsliga bestämmelser som reglerar avtalsförhållandet mellan försäkringsgivare och försäkringstagare följs. Det får förutsättas att Finansinspektionen skulle ingripa om ett försäkringsbolag avsiktligt skulle kringgå en reglering till skydd för försäkringstagarnas integritet. Som ovan nämnts kan det ibland vara svårt att fastslå om bolagets krav snarast motiveras av en osäkerhet ifråga om den enskildes hälsa. Det får ankomma på Finansinspektionen att göra en bedömning av bolagets hantering i det enskilda fallet.
Ett sätt att begränsa de integritetsrisker som finns vid utlämnande av patientuppgifter genom direktåtkomst är att inte låta direktåtkomsten avse samtliga uppgifter om en patient. Uppgifter som är särskilt känsliga bör t.ex. alltid undantas från direktåtkomst. Därutöver skulle åtkomsten inledningsvis kunna begränsas till vissa uppgifter, t.ex. uppgift om behandlande läkare, kontaktuppgifter till vårdgivare, diagnoser, överkänslighet och förskrivna läkemedel. Efter utvärdering skulle direktåtkomsten kunna utvidgas till att avse allt fler uppgifter.
Vår slutsats blir att enskilda bör ges möjlighet att ta del av uppgifter om sig själva via Internet och detta oavsett om vårdgivaren deltar i sammanhållen journalföring eller ej. Visserligen har patienter,
som framgått tidigare, i princip alltid rätt att ta del av sina journaluppgifter. Enligt vår uppfattning bör dock inte någon rättighet för enskilda att ha direktåtkomst till sina uppgifter införas för närvarande. Konsekvenserna av införandet av en sådan rättighet kan nämligen inte till fullo överblickas. En sådan rättighet skulle innebära att alla vårdgivare som för elektroniska patientjournaler – oavsett storlek och oavsett vilka tekniska förutsättningar de har – skulle vara skyldiga att ge sina patienter en sådan åtkomst. I nuläget saknas det förutsättningar att ålägga samtliga vårdgivare en sådan skyldighet och det är därför inte möjligt att införa en rättighet till direktåtkomst. I stället skall den vårdgivare som anser sig kunna ge sina patienter direktåtkomst under fullgod säkerhet få lov att göra det.
Enligt vår uppfattning bör direktåtkomsten få avse sådana uppgifter som omfattas av vårt förslag om personuppgiftsbehandling för ändamålet vårddokumentation (se avsnitt 8.2.3). Det är dock vårdgivaren som avgör i vilken utsträckning sådana uppgifter skall göras tillgängliga för patienterna. Som nämnts tidigare behöver ju direktåtkomsten inte avse samtliga uppgifter om en patient. En vårdgivare har alltså möjlighet att begränsa direktåtkomsten till vissa uppgifter.
Vi har i avsnitt 12 föreslagit en uttrycklig skyldighet för vårdgivare att dokumentera all elektronisk åtkomst till patientuppgifter. Som redogjorts för där utgör åtkomsthistoriken (eller logglistorna) inom den allmänna hälso- och sjukvården allmänna handlingar som patienter kan begära utlämnade med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen. Någon rätt för patienter att få logglistor från den enskilda hälso- och sjukvården finns däremot inte. Något hinder mot att lämna ut sådana listor på grund av sekretess eller tystnadsplikt torde normalt inte finnas.
Vi har i det tidigare nämnda avsnittet framhållit betydelsen av att patienter kan få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne. Vi har också föreslagit en bestämmelse som ger patienter rätt att på begäran få information om sådan åtkomst. De skäl som vi anfört för en sådan bestämmelse talar också för att det bör vara tillåtet för vårdgivare att ge sina patienter direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om dem.
Som framgått tidigare innebär vårt förslag i avsnitt 8.7 att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara får förekomma i den utsträckning som anges i lag eller förordning. För att den nu föreslagna direktåtkomsten skall bli tillåten krävs därför att en bestämmelse härom tas in i patientdatalagen. Vi
föreslår alltså att det i patientdatalagen anges att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde som behandlas för det ändamål som vi i avsnitt 8.2.3 betecknar vårddokumentation. För att understryka att en sekretessprövning är nödvändig i samband med att uppgifter görs tekniskt åtkomliga för patienten anges att det är fråga om uppgifter ”som får lämnas” ut till den enskilde.
TPF
3
FPT
Vidare får den enskilde under samma förutsätt-
ningar medges direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om den enskilde.
Enligt vår uppfattning krävs vissa säkerhetsåtgärder för att vårdgivare skall kunna medge sina patienter direktåtkomst till patientuppgifter. Det måste t.ex. finnas tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Vidare bör det finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av de är sekretessbelagda eller omfattas av tystnadsplikt i förhållande till patienten. Det är inte möjligt att i lag precisera de krav som bör ställas. Vi föreslår därför att regeringen, eller efter bemyndigande, Socialstyrelsen efter samråd med Datainspektionen får meddela föreskrifter om de krav på säkerhetsåtgärder som skall gälla vid direktåtkomst för enskilda.
Enligt 7 § andra stycket patientjournallagen skall det antecknas i patientjournalen om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon. I sådant fall skall antecknas vem som har fått handlingen och när denna har lämnats ut. Våra förslag innebär att bestämmelsen förs över oförändrad till patientdatalagen. Som framgått av avsnitt 11.8 föreslår vi att bestämmelsen inte skall gälla vid utlämnande genom direktåtkomst. Detta gäller även i fråga om patienters direktåtkomst.
3
Se Lagrådets yttrande i prop. 2000/01:33 (s. 349).
14. Överföring av personuppgifter i individinriktad verksamhet
14.1. Vårt uppdrag m.m.
På skäl som redovisas i avsnitt 9.4 har vi kommit till ståndpunkten att det inte bör införas en lagreglerad skyldighet för vårdgivare att på någon nivå eller inom något område föra patientjournal i en enda sammanhållen patientjournal för varje patient. Enligt våra direktiv skall vi – om vi kommer till denna slutsats – granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård. Förslag till reglering skall lämnas. Överföring av personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård kan emellertid ske för skiftande ändamål. I detta avsnitt behandlar vi några generella frågeställningar som gäller informationsutbytet i det individinriktade arbetet, dvs. i den direkta patientvården. När det gäller rättsliga frågor kring informationsutbyte i vårdsyfte handlar dessa om, för det första, i vad mån personuppgifterna alls får lämnas ut och, för det andra, på vilket sätt uppgifterna får lämnas ut; får överföring ske med användning av elektronisk informationsteknik eller inte?
Våra förslag om sammanhållen journalföring utgör i detta sammanhang en genomgripande nyordning i regleringen av utbytet av känsliga och sekretessbelagda personuppgifter mellan verksamheter inom hälso- och sjukvården. Förenklat och i sammanfattning innebär nyordningen ett system för gränsöverskridande lösningar för elektronisk direktåtkomst till personuppgifter där hälso- och sjukvårdssekretessen inte gäller mellan de samarbetande vårdgivarna så länge syftet är patientvård. I stället gäller andra krav, bl.a. att patienten skall lämna sitt samtycke till att en läkare eller annan befattningshavare använder direktåtkomsten och tittar i t.ex. ett annat landstings journalhandlingar. Genom förslagen skapas klara rättsliga förutsättningar för sådan allmän och enskild hälso- och sjukvård som ofta interagerar att samverka i den direkta patientvården genom en
modern och smidig informationshantering. Denna kan för övrigt anpassas till verksamhetsmässiga eller lokala förhållanden. En närmare redogörelse för våra överväganden när det gäller den sammanhållna journalföringen finns i avsnitt 11.
Med tanke på dagens flora av inkompatibla journalsystem, osäkra ekonomiska förutsättningar, ofullständigt genomförd datorisering, problem med säkerhetslösningar och en rad andra faktorer kan det dock komma att dröja innan olika former av sammanhållen journalföring blir vanlig. Vi har därför ställt oss frågan om det finns anledning att lämna ytterligare förslag – utöver vad som följer av den sammanhållna journalföringen – rörande regleringen av den överföring av personuppgifter som sker i hälso- och sjukvårdens individinriktade verksamhet.
Till den individinriktade hälso- och sjukvårdsverksamheten anknyter den kommunala omsorgen om äldre samt om personer med fysiska eller psykiska funktionshinder som formellt sett utgör socialtjänst men som i praktiken ofta bedrivs integrerat med kommunal hälso- och sjukvård.
Under vårt arbete har i olika sammanhang – bl.a. vid studiebesök på vårdinrättningar och samråd med företrädare för Nationell Psykiatrisamordning – påtalats att lagstiftningen försvårar samverkan mellan kommun och landsting när det främst gäller äldre och dem med psykiskt funktionshinder eller sjukdom som behöver stöd och insatser i form av både hälso- och sjukvård och socialtjänst. Problemen gäller både i den individinriktade verksamheten som behandlas i detta avsnitt och i sådan övergripande verksamhetsuppföljning som vi kommer att behandla i avsnitt 15.
Något mandat i fråga om socialtjänstverksamhet har vi inte. Vi har emellertid valt att ändå beröra problemområdet i den omfattning som vi funnit utrymme för inom ramen för våra direktiv.
I det följande redogör vi i avsnitt 14.2 i korthet för de nuvarande möjligheterna att överföra personuppgifter i det individinriktade samarbetet sinsemellan vårdgivare samt i samarbetet inom vård och omsorg. Vi har vidare konstaterat att flera frågor redan har utretts grundligt av bl.a. Offentlighets- och sekretesskommittén (OSEK), som i sitt huvudbetänkande Ny sekretesslag, SOU 2003:99, lämnat flera förlag av betydelse i sammanhanget. I avsnitt 14.3 redogör vi för några av OSEK:s förslag. Våra överväganden redovisar vi i avsnitt 14.4.
Redan här vill vi emellertid beröra en specialfråga som vi enligt direktiven skall utreda och som har direkt betydelse i den individ-
inriktade hälso- och sjukvården. Frågan gäller om förskrivare av patientsäkerhetsskäl skall kunna få information om andra förskrivare som en patient haft kontakt med under senare tid för att med denne kunna diskutera patientens läkemedelssituation inför en ny läkemedelsförskrivning. Enligt direktiven skall vi överväga vilken information som behövs och lämna förslag som krävs för att en tidigare förskrivare skall kunna kontaktas.
Sammanhållen journalföring som omfattar läkemedelsordinationer och -förskrivningar, aktuella läkemedelslistor m.m. kommer rimligen att ge förskrivare mer information om tidigare förskrivare. På så sätt ökar möjligheterna för en förskrivare att ta kontakt med en tidigare förskrivare. Något heltäckande system blir det dock troligen inte fråga om inom överskådlig tid. Man måste också beakta att patienten kan ha begärt att journaluppgifter om förskrivna läkemedel spärras.
Det ter sig mot denna bakgrund naturligt att överväga en reglering i lagen (2005:258) om läkemedelsförteckning, som innehåller en heltäckande registrering av receptförskrivna och uthämtade läkemedel. I vårt slutbetänkande kommer vi att ta upp ett antal frågor som rör läkemedelsområdet. Frågan om en ändring av lagen om läkemedelsförteckning bör lämpligen behandlas i det sammanhanget.
14.2. Vad gäller idag?
14.2.1. Utbyte av uppgifter inom hälso- och sjukvården i vårdsyfte
Vi har i främst avsnitt 8.2.1, 8.7.2 och 11.5.1 redogjort för de rättsliga förutsättningarna för överföring av personuppgifter i journaler m.m. De i första hand relevanta lagarna är sekretesslagen (1980:100) och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område som på ett teknikoberoende sätt reglerar förutsättningarna för att över huvud taget utbyta uppgifter. När det gäller sättet att utbyta uppgifter är det främst personuppgiftslagens (1998:204) allmänna bestämmelser om personuppgiftsbehandling och, beträffande elektroniska journaler och annan vårddokumentation, lagens (1998:544) om vårdregister (vårdregisterlagen) bestämmelser om direktåtkomst och utlämnande på medium för automatiserad behandling som är tillämpliga.
Sekretesslagens bestämmelser innebär i korthet bl.a. att uppgifter om patienter normalt omfattas av hälso- och sjukvårdssekretess med ett omvänt skaderekvisit. Sekretessen innebär som huvudregel att uppgifter får lämnas över en sekretessgräns bara om den enskilde går med på det eller en s.k. menprövning leder till bedömningen att det står klart att uppgiften kan lämnas utan att den enskilde eller någon honom eller henne närstående lider men. Därutöver finns vissa särskilda begränsningar i sekretessen i form av uppgiftsskyldighet (14 kap. 1 § sekretesslagen) eller andra undantag från sekretessen (t.ex. i 14 kap. 2 § samma lag).
För en närmare belysning av sekretessregleringen hänvisas till avsnitt 11.5.1. Av den redovisningen framgår att det redan i dag finns ett ganska stort utrymme att i vårdsyfte utbyta uppgifter över sekretessgränser även utan ett uttryckligt eller underförstått samtycke från patienten, i vart fall då det inte rör särskilt känsliga uppgifter från t.ex. den psykiatriska vården. Har den enskilde däremot uttryckligen motsatt sig ett utbyte, kan en menprövning knappast leda till bedömningen att uppgifter kan lämnas ut ens om uppgifterna framstår som klart mindre ömtåliga. Huruvida mottagaren tillhör den allmänna eller enskilda hälso- och sjukvården bör enligt vår uppfattning inte ha betydelse för resultatet av en menprövning, så länge mottagaren behöver uppgiften i vårdsyfte.
Vi har i avsnitt 11.5.3 förklarat att vi ansluter oss till bl.a. OSEK:s bedömning att det inte finns några sekretessgränser mellan olika hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet, dvs. lyder under samma nämnd inom ett landsting eller en kommun. Det innebär att någon prövning enligt sekretesslagen inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, t.ex. från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd. Detsamma gäller om det handlar om överföring av uppgifter från en psykiatrisk klinik till en somatiskt inriktad vårdenhet inom samma myndighet. Även om någon prövning enligt sekretesslagen inte är aktuell har patienten alltid ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Att så är fallet följer bl.a. av föreskriften i 2 a § hälso- och sjukvårdslagen (1982:763) om att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten.
I en del landsting och kommuner är hälso- och sjukvården emellertid indelad på flera sektorer som organisatoriskt hör till olika nämnder som sinsemellan är självständiga myndigheter. Hälso- och
sjukvården kan t.ex. sortera under olika distriktsnämnder. Likaså kan t.ex. tandvård tillhöra en nämnd, psykiatri en annan, sjukhusvård en tredje osv. Vidare kan viss hälso- och sjukvård ha bolagiserats i sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen. I dessa fall finns sekretessgränser mellan de olika nämndernas och kommunala företagens vårdinrättningar. Dessa kan alltså inte utbyta uppgifter utan en föregående sekretessprövning.
Sedan några år har sjukvårdshuvudmännen, dvs. landstingen och kommunerna, möjligheter att samverka kring uppgifter enligt hälso- och sjukvårdslagen (1982:763) i gemensamma nämnder, se lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i kommunalförbund, se 3 kap. 20 § kommunallagen (1991:900). I en sådan gemensam nämnd eller ett förbund torde det som regel inte finnas någon sekretessgräns mellan olika hälso- och sjukvårdsverksamheter inom nämnden eller förbundet även om verksamheterna ursprungligen tillhört olika huvudmän.
När det gäller på vilket sätt uppgifter får utbytas följer av 3, 4 och 9 §§ vårdregisterlagen att det inte finns något hinder mot att uppgifter i vårdregister lämnas ut på medium för automatiserad behandling, om det sker i vårdsyfte och förutsatt att det sker under säkerhetsmässigt godtagbara former.
Beträffande direktåtkomst till vårdregister finns en bestämmelse i 8 § vårdregisterlagen som närmare berörts i avsnitt 8.5 och 8.7. Här skall kort bara anges att bestämmelsen syftar till att reglera hur befattningshavare inom en vårdgivare får ges åtkomst till vårdgivarens vårdregister (prop.1997/98:108 s. 77 och 99). Som berörts främst i avsnitt 11.4 och 11.5 är det i första hand tryckfrihetsförordningens och sekretesslagens bestämmelser som utgör ett rättsligt problem när det gäller uppgiftsutbyte över gränser genom direktåtkomst.
14.2.2. Särskilt om uppgiftsutbyte inom området vård och omsorg
Såsom kortfattat beskrivits i avsnitt 2.1 är huvudmannaskapet för hälso- och sjukvården sedan början av 1990-talet delat mellan landstingen och kommunerna.
Genom den s.k. Ädelreformen fick kommunerna skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre och att inrätta bostäder med särskild service för funktionshindrade.
Denna skyldighet reglerades i den då gällande socialtjänstlagen (1980:620). I samband med reformen övertog kommunerna från landstingen ett stort antal långvårdshem och gruppboenden. Även dagverksamheter för äldre och handikappade övertogs. Parallellt med denna förflyttning från landstingens hälso- och sjukvård till kommunernas socialtjänst, fick kommunerna också ansvaret för att tillhandahålla hälso- och sjukvård åt dem som bor i särskilda boendeformer och bostäder eller som vistas i dagverksamhet enligt reglering som infördes i hälso- och sjukvårdslagen. Kommunerna fick även befogenhet att erbjuda hälso- och sjukvård till dem som bor hemma (hemsjukvård). Skyldigheten att erbjuda hemsjukvård åvilar emellertid fortfarande landstingen. Genom särskild överenskommelse och med regeringens medgivande kan kommunerna dock överta denna skyldighet. Ingen kommunal hälso- och sjukvård på detta område får omfatta läkarvård. Ädelreformen innebar även att kommunerna fick ett betalningsansvar för personer som blivit medicinskt färdigbehandlade i sluten vård, numera kallade utskrivningsklara patienter, se lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård.
Efter Ädelreformen har ytterligare reformer genomförts av betydelse för vård och omsorgsområdet. Nämnas kan handikappreformen som bl.a. ledde till införandet av lagen (1993:387) om stöd och service till vissa funktionshindrade samt psykiatrireformen år 1995 som gav kommunerna ett ökat ansvar för insatser till långvarigt psykiskt sjuka.
Ett av de uttalade syftena med reformerna har varit att skapa ett bättre och mer samlat omhändertagande av äldre och andra personer med sammansatta behov av både medicinska och sociala insatser. Samtidigt har det ända sedan reformerna infördes påtalats fortsatta brister i omhändertagandet. En av flera brister som framhållits rör svårigheter i informationsutbytet inom vården och omsorgen med anledning av att ett gott och samlat omhändertagande ofta är beroende av stöd och insatser från både landsting och kommuner samt privata vårdgivare eller privata entreprenörer som driver särskilda äldreboenden m.m. För att förbättra samarbetet skärptes år 2003 kraven på aktörerna att göra en samlad vårdplanering av medicinska och sociala insatser för patienter i slutenvård som blivit utskrivningsklara. Samtidigt infördes den ovan nämnda lagen om gemensam nämnd inom vård- och omsorgsområdet för att ytterligare förbättra samarbetet. Hösten 2005 hade enligt uppgift från Sveriges Kommuner och Landsting bara ett fåtal gemensamma nämnder för
både hälso- och sjukvård och socialtjänst bildats i landet. Något fler gemensamma nämnder finns på området hjälpmedel och rehabilitering åt funktionshindrade
Ett kvarstående problem är de sekretessgränser som finns mellan hälso- och sjukvårdverksamheter som bedrivs av de inblandade aktörerna. Ett ytterligare problem är att också socialtjänstverksamhet inbegrips i vården och omsorgen. Det kan t.ex. få till konsekvens att en sekretessgräns uppstår inom en kommunal nämnd mellan den del av verksamheten som avser hälso- och sjukvård och den del som avser socialtjänst, trots att verksamheten i praktiken drivs integrerat. När det gäller den hälso- och sjukvårdsverksamhet som överfördes till kommunerna i samband med Ädelreformen angavs visserligen i förarbetena att det inte finns någon sekretessgräns mellan socialtjänst och hälso- och sjukvård som organisatoriskt tillhör samma kommunala nämnd. Dessa verksamheter skall bedrivas integrerat och utgör komplement till varandra. Enskilda som behöver stöd och hjälp skall kunna få sådan, vare sig det rör insatser av social eller medicinsk natur, inom en samlad kommunal organisation för hälso- och sjukvård och socialtjänst. Många gånger, påtalade regeringen, kommer såväl medicinska som sociala insatser att ges av samma person. Den kommunala hälso- och sjukvården kan, enligt regeringen, därför inte betraktas som självständiga verksamhetsgrenar i den mening som avses i 1 kap. 3 § andra stycket sekretesslagen (prop. 1990/91:14 s. 85). Däremot finns en sekretessgräns gentemot annan social omsorg som kommunerna ansvarar för, bl.a. sådan socialtjänst som omfattas av handikappreformen och psykiatrireformen. Dessutom finns en sekretessgräns mellan, å ena sidan, sådan hälso- och sjukvård som ett landsting för in i och, å andra sidan, sådan kommunal socialtjänst som en kommun för in i en gemensam nämnd alldeles oavsett om socialtjänsten utgör sådana sociala insatser som omfattas av Ädelreformen eller inte.
Enligt Samverksansutredningen, som utrett frågor om samverkan inom vård och omsorg, uppstår dessutom en sekretessgräns mellan landstingets hälso- och sjukvård och den kommunala hälso- och sjukvården i en gemensam nämnd (SOU 2001:114 s. 251). OSEK gör, som framgått av föregående avsnitt och avsnitt 11.5.2, en annan bedömning.
Utöver de problem i informationsflödet som beror på sekretessgränser mellan och ibland även inom vårdgivares verksamheter, finns det i dag rättsliga problem när det gäller sättet, dvs. tekniken för informationsutbyte, i vart fall när det gäller överföring från hälso- och
sjukvården till verksamhet som utgör socialtjänst. Av vårdregisterlagen följer att det inte är tillåtet att personuppgifter i ett vårdregister lämnas ut elektroniskt till socialtjänsten för att användas i individinriktad vård inom socialtjänsten. Detsamma torde gälla även om personuppgiftsbehandlingen inte innebär ett utlämnande över en sekretessgräns. I den kommunala äldreomsorgen vid ett särskilt boende är det exempelvis inte förenligt med vårdregisterlagens ändamålsbestämmelser att elektroniskt överföra uppgifter från hälso- och sjukvårdverksamheten som behövs av socialtjänstpersonalen för att planera den enskildes sociala vård. Det sagda gäller även om de båda verksamheterna bedrivs integrerat i samma nämnd.
Det förekommer ändå på sina håll att vårdplanering m.m. med både hälso- och sjukvårdspersonal och socialtjänstpersonal sker med hjälp av IT-stöd, dock med ett inhämtat samtycke från patienten (se t.ex. Äldrevårdsutredningens betänkande Sammanhållen hemvård, SOU 2004:68 s 308). Någon motsvarande begränsning finns inte för det omvända flödet, dvs. från socialtjänsten till hälso- och sjukvården. Den personuppgiftsbehandlingen regleras av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten jämte anknytande förordning.
Ett tredje problem som uppmärksammats är att vård- och omsorgsdokumentationen i integrerad verksamhet styrs av olika regelverk. I en del sammanhang framförs önskemål om att dokumentation bör kunna ske i samma journal när det t.ex. gäller kommunal vård och omsorg om äldre i särskilda boendeformer och inom hemsjukvården alldeles oberoende av vem som svarar för insatsen. Såväl hälso- och sjukvårdsinsatser som sociala insatser omfattas av dokumentationsplikt. Men medan hälso- och sjukvårdspersonalens dokumentation regleras av patientjournallagen, reglerar socialtjänstlagen (2001:453) socialtjänstpersonalens sociala anteckningar.
Samverkansutredningen behandlade just denna fråga men fann stora lagtekniska svårigheter med ett gemensamt dokumentationssystem för patientjournalföring och sociala anteckningar. Bl.a. därför lämnades inget förslag i frågan. Enligt Samverkansutredningen finns dock goda förutsättningar att, i samråd med den enskilde, praktiskt hantera båda slagen av information i t.ex. gemensamma pärmar på äldreboenden (SOU 2001:114 s. 256 ff.).
14.3. OSEK:s förslag
Vi har i avsnitt 11.5.2 redogjort för OSEK:s förslag om nya sekretessgränser inom och mellan myndigheter som har betydelse för hälso- och sjukvårdssekretessen. Här kan erinras om att ett av förslagen är att det inte skall finnas någon sekretessgräns mellan nämnderna i en kommun eller ett landsting till den del verksamheterna är av samma slag. Liksom när det gäller inom en myndighet räknas all hälso- och sjukvård som verksamhet av samma slag. När det gäller OSEK:s närmare behandling av denna fråga kan hänvisas till avsnitt 12 i det tidigare nämnda bestänkandet (SOU 2003:99) främst avsnitt 12.2, s. 241 f., avsnitt 12.7.3, s. 272 och avsnitt 12.7.5, s. 277 f.
Vidare föreslås att det skall framgå av lagen när det inte skall finnas någon sekretessgräns mellan olika verksamheter som bedrivs integrerat eller i gemensamma nämnder. I förslaget finns en bestämmelse som uttryckligen anger att det inte finns någon sekretessgräns inom en nämnd mellan den kommunala hälso- och sjukvården enligt 18 § första stycket hälso- och sjukvårdslagen och sådan socialtjänst som anges i 5 kap. 5 § andra stycket (dvs. service och omvårdnad i särskilda boendeformer för äldre som behöver särskilt stöd) eller 7 § tredje stycket (dvs. särskild service i inrättade bostäder för dem som till följd av fysiska, psykiska eller andra skäl behöver ett sådant boende) socialtjänstlagen. Den bestämmelsen skulle bli tillämplig t.ex. i en kommunal nämnd vari man samverkar på grund av den s.k. Ädelreformen.
Enligt OSEK är den föreslagna bestämmelsen egentligen ingen förändring av gällande rätt utan måste till som ett resultat av att OSEK slopat kravet på att sekretessgränser inom en myndighet bara kan finnas mellan verksamheter som är självständiga i förhållande till varandra. Enligt OSEK:s förslag skall i stället gränser inom en myndighet dras mellan verksamheter som är av olika slag, t.ex. hälso- och sjukvård respektive socialtjänst.
Man kan notera att OSEK:s förslag inte inbegriper hälso- och sjukvård och socialtjänst vid dagverksamhet eller i hemsjukvård, verksamheter som omfattats av Ädelreformen och som i och för sig kan drivas integrerat på sätt som förutsattes i förarbetena till Ädelreformen. OSEK:s förslag i denna del torde således utgöra en inskränkning i förhållande till vad som i dag gäller i fråga om sekretessgränser i den kommunala dagverksamheten eller hemtjänsten/hemsjukvården.
Ett ytterligare förslag är en uttrycklig bestämmelse som klargör att om en kommun eller ett landsting överlåtit någon del av sin verksamhet till en gemensam nämnd eller ett kommunförbund, finns det inte någon sekretessgräns mellan en nämnd i den överlåtande kommunen eller landstinget och den överlåtna verksamheten till den del verksamheterna är av samma slag.
När det gäller uppgiftsutbyte mellan och inom vård- och omsorgsområdena föreslås en begränsning av sekretessen som innebär en utvidgning av 14 kap. 2 § sjätte stycket i den nuvarande sekretesslagen. Enligt OSEK:s förslag skall sekretess inte hindra att uppgifter om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården eller socialtjänsten till en annan sådan myndighet eller till enskild vårdgivare eller enskild verksamhet på socialtjänstens område. OSEK har som skäl till de utökade möjligheterna anfört att det av patientsäkerhetsskäl är väsentligt att nödvändiga uppgifter om en patient finns tillgängliga vid ett vårdtillfälle även då patientens samtycke inte kan inhämtas eller patienten motsätter sig att uppgifter lämnas ut (a. bet. s. 296 f.). Enligt OSEK är förslaget ett undantag från det sekretesskydd som den enskilde har enligt sekretesslagen som måste användas med urskillning och varsamhet. I första hand bör samtycke även fortsättningsvis utverkas. Det kan här nämnas att OSEK övervägde men valde bort några alternativa modeller för att underlätta uppgiftsutbytet inom vård och omsorgsområdet.
Slutligen skall här erinras om OSEK:s förslag om reglering i sekretesslagen av den inre sekretessen inom en myndighet eller annat område inom vilket det inte finns någon sekretessgräns. Det förslaget har vi närmare redogjort för i avsnitt 12.3.
14.4. Våra överväganden och förslag
14.4.1. Sekretessfrågor
Våra förslag: Två nya sekretessbrytande undantag från hälso- och sjukvårdssekretessen införs i sekretesslagen. Bestämmelserna syftar i allt väsentligt till att underlätta samarbetet i den individinriktade patientverksamheten. Förslagen är i huvudsak en inarbetning i nu gällande sekretesslag av några av OSEK:s förslag på hälso- och sjukvårdens område.
Innebörden av de båda sekretessbrytande undantagen är följande.
1. Hälso- och sjukvårdssekretess enligt 7 kap. 1 c § första stycket sekretesslagen hindrar inte att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting.
2. Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar hälso- och sjukvårdssekretess enligt 7 kap. 1 c § första stycket sekretesslagen inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.
Båda bestämmelserna införs i den av oss tidigare föreslagna 7 kap. 1 d § sekretesslagen, se avsnitt 11.5.
Med våra förslag om sammanhållen journalföring finns potential att i det dagliga vårdarbetet komma till rätta med flera av de problem som sekretesslagen och motsvarande bestämmelser i lagen om yrkesverksamhet på hälso- och sjukvårdens område orsakar. På vård- och omsorgsområdet framstår det som särskilt lämpligt med sammanhållen journalföring för de samlade hälso- och sjukvårdsinsatserna. Samtidigt är förslagen en speciallösning som inte löser de generella problemen med sekretessgränser i hälso- och sjukvården där patienter alltmer hamnar i vårdprocesser med flera aktörer inblandade.
Man kan inte bortse från att hälso- och sjukvårdssekretessen orsakar en del svårigheter i informationsutbytet inom hälso- och sjukvården och i samarbetet inom området vård och omsorg.
Samtidigt visar en genomgång av rättsläget att det faktiskt finns stora möjligheter att utbyta uppgifter i åtminstone den individinriktade verksamheten, både inom och mellan myndigheter inom vård och omsorg och privata vårdgivare. Till viss del är de påtalade sekretesshindren i informationsutbytet mera upplevda bland hälso- och sjukvårdspersonalen än rättsligt grundade. Osäkerhet om vad som verkligen gäller och rädslan för att göra fel verkar vara utbredd. För säkerhets skull tillämpas ibland väsentligen snävare sekretess-
gränser än vad som är juridiskt korrekt. Detta vållar givetvis bekymmer i den dagliga verksamheten på många håll. Vi vill emellertid framhålla att personalens inställning är i hög grad respektabel dels med tanke på integritetskänsligheten i den information som hanteras, dels med tanke på att sekretessregleringen omfattar ett mycket komplext område. Det kan därför inte nog understrykas hur viktigt det är att personal, som inte är rättsligt skolad, får utbildning i ämnet och att det finns stöd i råd m.m. som är konkreta och anpassade för just den verksamhet som personalen arbetar inom.
Ibland har föreslagits att sekretessgränserna inom hälso- och sjukvården helt bör slopas eller att ett rakt skaderekvisit bör gälla mellan myndigheter inom hälso- och sjukvården och i förhållande till privata vårdgivare. Vi menar att det första alternativet inte är förenligt med patienternas berättigade krav på integritetsskydd. Beträffande det andra alternativet kan man, såsom OSEK påpekat, även fråga sig i vad mån möjligheterna till uppgiftsutbyte verkligen skulle öka med ett rakt skaderekvisit i stället för ett omvänt. Redan i dag kan uppgifter som inte är av alltför känslig natur i allmänhet utbytas mellan myndigheter inom hälso- och sjukvården och även socialtjänstens omsorg, om inte den enskilde motsatt sig det. I sådana fall står det nämligen ofta klart att utbytet kan ske utan men för den enskilde. Ömtåligare uppgifter torde inte bli lättare att lämna ut med ett rakt skaderekvisit. Menbegreppet är ju detsamma vare sig det är ett rakt eller ett omvänt skaderekvisit (SOU 2003:99 s. 298). Vi tror vidare att det skulle innebära tillämpningsproblem för den praktiserande hälso- och sjukvården att ha olika skaderekvisit för olika slags mottagare. Skulle man vidare inskränka det raka skaderekvisitet att bara gälla för ett visst ändamål, vårdsyfte, torde tillämpningsproblemen bli än större. Sammantaget finner vi inte skäl att föreslå några genomgripande och generella lättnader i hälso- och sjukvårdssekretessen utöver den vi föreslagit i samband med den sammanhållna journalföringen.
Vi konstaterar dessutom att OSEK:s förslag, som fortfarande är under beredning i Regeringskansliet, är väl ägnade att lösa många av de omotiverade sekretessgränser och problem som uppstått på grund av den fria kommunala nämndorganisationen och problemen i uppgiftsutbytet mellan vård- och omsorgsområdena i det individinriktade arbetet.
Ett problem med OSEK:s förslag är emellertid att de är inarbetade i ett större förslag till en helt ny sekretesslag som bryter upp den gamla lagens struktur och inför nya lagtekniska lösningar och ny
terminologi. När en ny sekretesslag kan komma att införas är ännu osäkert.
Vi har därför funnit anledning att diskutera i vad mån och i så fall hur förslagen skulle kunna inarbetas i den nu gällande sekretesslagen. Vi har dock begränsat oss till den del som enbart rör uppgiftsflödet inom hälso- och sjukvården eller från hälso- och sjukvården till socialtjänsten. Hur socialtjänsten skall få hantera sin information i individinriktad faktisk verksamhet ligger klart utanför våra direktiv och kräver särskilda överväganden.
Sekretessgränser
Till en början konstaterar vi att det inte bör införas någon bestämmelse om att det inte finns någon sekretessgräns mellan hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. Det följer redan av gällande rätt enligt vår uppfattning. En uttrycklig bestämmelse om detta skulle vidare strida mot den allmänna systematiken i den nuvarande sekretesslagen. Denna bygger på att sekretessgränser inom en myndighet bara finns mellan verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (1 kap. 3 § andra stycket sekretesslagen).
Däremot menar vi att det bör, såsom OSEK föreslagit, införas en sekretessbrytande bestämmelse som i praktiken undanröjer hälso- och sjukvårdssekretessen mellan olika myndigheter inom hälso- och sjukvården i samma landsting eller kommun. Inte minst på hälso- och sjukvårdens område har den fria kommunala nämndorganisationen medfört tillämpningsproblem inom kommuner och landsting där organisatoriska nyordningar fått till följd att nya sekretessgränser uppstått i verksamheter som tidigare varit ett enda sekretessområde. Det har inneburit otillfredsställande hinder i en verksamhet inom kommuner och landsting som sakligt sett hör samman men som formellt lagts under olika nämnder utifrån helt andra bevekelsegrunder än de som bär upp att hälso- och sjukvårdssekretess skall gälla även mellan myndigheter.
Vi föreslår mot bakgrund av det sagda en bestämmelse som föreskriver att hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § första stycket sekretesslagen inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Bestämmelsen bör lämpligen införas i den nya paragraf 7 kap. 1 d §
sekretesslagen som vi tidigare föreslagit och som, enligt vårt förslag, redan innehåller sekretessbrytande undantag från hälso- och sjukvårdssekretessen, se vårt tidigare förslag i avsnitt 11.5.3. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma landsting eller kommun måste emellertid en patients uttryckliga önskemål om att uppgifter om honom eller henne inte fritt skall lämnas till en annan myndighet normalt respekteras på motsvarande sätt som gäller mellan olika kliniker osv. inom en myndighet, se kapitel 12.
Vi gör bedömningen att det inte krävs ett förtydligande av vad som skall gälla i förhållande till sådana kommunala företag i samma kommun eller landsting som avses i 1 kap. 9 § sekretesslagen. Sådana företag anses nämligen jämställda med myndigheter vid tillämpning av sekretesslagen.
När det gäller förhållandet till den del av en kommuns eller ett landstings hälso- och sjukvård som överlåts till en gemensam nämnd och den del av hälso- och sjukvården som ligger kvar i kommunen eller landstinget har vi dock ansett det mindre lämpligt från lagteknisk synpunkt att inarbeta OSEK:s förslag i den nuvarande sekretesslagen.
Beträffande sekretessgränsen mellan den kommunala hälso- och sjukvården och socialtjänsten i integrerade verksamheter anser vi att det inte behövs en reglering för att inarbeta OSEK:s förslag om att uttryckligen ange att det inte finns någon sekretessgräns inom en myndighet mellan kommunal hälso- och sjukvård och socialtjänst som bedrivs integrerat i samma nämnd enligt Ädelreformen. Som vi redovisat ovan torde gällande rätt innebära att det inte finns någon sådan sekretessgräns. OSEK:s bestämmelse härom syftar närmast till att undanröja effekten av kommitténs generella förslag om att införa en sekretessgräns inom myndigheter mellan verksamheter av olika slag – t.ex. hälso- och sjukvårdsverksamhet i förhållande till socialtjänstverksamhet – i stället för mellan självständiga verksamhetsgrenar. En uttrycklig bestämmelse i den nuvarande sekretesslagen enbart för att klargöra det nuvarande rättsläget ter sig inte välmotiverad och riskerar att skapa förvirring på andra områden där motsvarande klargöranden saknas. För att inte inskränka gällande rätt skulle vidare också förhållandet mellan dels kommunal hemsjukvård och hemtjänst, dels kommunal hälso- och sjukvård och omsorg i dagverksamhet behöva omfattas av en uttrycklig reglering.
Sekretessgenombrott inom vård- och omsorg
Vi ansluter oss till OSEK:s bedömning, se ovan, att det av patientsäkerhetsskäl behövs en bestämmelse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild skall kunna få nödvändig vård, omsorg m.m.. Vi föreslår därför att det införs ett undantag från hälso- och sjukvårdssekretessen i 7 kap. 1 c § sekretesslagen som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. (Som tidigare sagts har vi inget mandat att föreslå lättnader i fråga om uppgiftslämnande från socialtjänsten.)
Vi ansluter oss också i huvudsak till OSEK:s bedömning att den enskildes samtycke i första hand skall utverkas. Vidare anger OSEK att bestämmelsen måste användas med urskillning och varsamhet då det framstår som direkt påkallat att bistå en enskild och den enskilde kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finns att inhämta samtycke (SOU 2003:99 s. 299 och 453). Samma motivering finns redan i tidigare förarbeten till den nuvarande bestämmelsen i 14 kap. 2 § sjätte stycket sekretesslagen för uppgiftsutbyte inom hälso- och sjukvård och socialtjänst avseende personer med missbruksproblem, barn som far illa och gravida i vissa fall (prop. 1990/91:111 s. 41). I remisshanteringen av OSEK:s betänkande fick förslaget till utvidgning av nuvarande 14 kap. 2 § sjätte stycket sekretesslagen viss kritik av en del remissinstanser just för att det av lagtexten inte framgår att bestämmelsen är tänkt att tillämpas på detta sätt.
Även vi anser att det finns skäl att göra ett förtydligande i linje med det sagda. Vi föreslår därför att sekretessgenombrottet skall gälla bara om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgifter lämnas ut. Vårt förslag till tilläggsrekvisit torde därmed medföra en viss skärpning i förhållande till vad som framgår av OSEK:s förslag och nyss redovisade motivering.
Vårt förslag tar i huvudsak sikte på patienter som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den patient som klart och utan inflytande av en allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande skall däremot respekteras. Rekvisitet är i det fallet
inte uppfyllt. Vi menar att detta är ett rekvisit som är väl förenligt med bestämmelserna i 2 a § i hälso- och sjukvårdslagen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet samt att vården och behandlingen så långt möjligt skall utformas och genomföras i samråd med patienten. Här kan pekas på att det för närvarande pågår en utredning, Utredningen om skyddsåtgärder inom vård och omsorg för personer med nedsatt beslutsförmåga (S 2005:02, dir. 2005:11) som bl.a. skall se över frågor om t.ex. på vilket sätt och med vilka kriterier man skall fastställa att en person har bristande beslutsförmåga. Resultatet av den utredningens arbete kan komma att få betydelse för tolkningen av det rekvisit vi föreslår, i vart fall i fråga om dementa patienter. Det kan även pekas på att Utredningen om förmyndare, gode män och förvaltare har lämnat förslag av betydelse när det gäller patienter med bristande beslutsförmåga (SOU 2004:112).
Vi har ovan angett att OSEK:s förslag är en utvidgning av nuvarande 14 kap. 2 § sjätte stycket sekretesslagen. Den paragrafen rör emellertid enbart utlämnande till myndigheter. Vi menar – eftersom förslaget gäller utlämnande också till enskild, dvs. privat vårdgivare eller privat verksamhet på socialtjänstens område, – att vårt förslag till bestämmelse lämpligen bör tas in i den nya paragraf i sekretesslagen som vi föreslår, 7 kap. 1 d § sekretesslagen.
14.4.2. Elektroniskt utlämnande av personuppgifter m.m.
Vårt förslag och vår bedömning: En bestämmelse införs i patientdatalagen som anger att myndigheter inom samma landsting eller kommun får ha direktåtkomst till varandras personuppgifter.
Utöver de bestämmelser om elektroniskt utlämnande genom direktåtkomst som vi föreslagit här och i samband med den sammanhållna journalföringen samt i fråga om patienters möjligheter att ta del av uppgifter om sig själva finns inte skäl att föreslå ytterligare bestämmelser om direktåtkomst i patientdatalagen. Våra tidigare förslag om annat utlämnande av personuppgifter på medium för automatiserad behandling än direktåtkomst, se avsnitt 8.7, innebär att personuppgifter får lämnas elektroniskt från hälso- och sjukvården till bl.a. sådan socialtjänst som avses i 7 kap. 4 § tredje stycket sekretesslagen, förutsatt att utlämnandet som sådant är en tillåten personuppgiftsbehandling.
Direktåtkomst mellan nämnder i samma landsting eller samma kommun
I avsnitt 8.7.3 har vi redovisat att för personalens möjligheter att elektroniskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation används i patientdatalagen begreppet elektronisk åtkomst. Med begreppet direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande till en extern mottagare. Direktåtkomst kan tekniskt och organisatoriskt lösas på lite olika sätt; sätt som kan vara mer eller mindre lika den lösning för elektronisk åtkomst som finns inom en vårdgivares organisation. Gemensamt för olika möjliga lösningar för direktåtkomst är att den utlämnande vårdgivaren inte fattar ett beslut om överföring och gör en sekretessprövning varje gång mottagaren tar del av en uppgift genom användning av direktåtkomsten. Direktåtkomst till personuppgifter som behandlas enligt patientdatalagen får enligt vårt förslag bara förekomma i den utsträckning som anges i lag eller förordning. När det gäller annat elektroniskt utlämnande än direktåtkomst får det ske, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.
Vi har i avsnitt 14.4.1 föreslagit en sekretessbrytande bestämmelse om att hälso- och sjukvårdssekretess inte hindrar att en uppgift lämnas ut från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller samma landsting.
Vårt förslag till sekretessgenombrott upphäver emellertid inte sekretessgränserna mellan sådana nämnder i ett landsting eller i en kommun. Det sagda innebär bl.a. att det fortfarande är fråga om ett utlämnande enligt tryckfrihetsförordningens och sekretesslagens mening när uppgifter utbyts mellan nämnderna. En särskild bestämmelse som tillåter nämnderna att ha direktåtkomst till varandras personuppgifter behövs därför. En sådan bestämmelse är i konsekvens med motiven till sekretessgenombrottet och innebär att patientdatalagen inte parallellt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom sådana landsting och kommuner som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Stora tillämpningsproblem torde i annat fall kunna uppstå. Då skulle uppgiftsflöde genom direktåtkomst mellan nämnderna i ett sådant landsting eller kommun enbart få ske med stöd av våra förslag om sammanhållen journalföring. Vad skulle då gälla när ett landsting, som satsat på att införa ett journalsystem under en nämnd,
av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder? Sannolikt skulle det kräva en reglering för sådana fall av huruvida all befintlig vårddokumentation skall presumeras vara spärrad mellan nämnderna tills varje patients inställning klargjorts eller huruvida presumtionen skall vara omvänd? Man kan fråga sig om en reglering med sådana konsekvenser för informationshanteringens villkor inte låser fast nämndstrukturen i landsting och kommuner på ett olyckligt sätt. Våra förslag innebär att det i praktiken inte kommer att vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun bedriver hälso- och sjukvård genom en eller flera myndigheter.
Däremot anser vi att de kommunala företagen inte bör få ha direktåtkomst till landstingets personuppgifter under andra förutsättningar än de som följer av bestämmelserna om sammanhållen journalföring. Visserligen rivs sekretessen mellan kommunala företag och myndigheter i enlighet med vårt förslag till sekretessgenombrott mellan nämnder och kommunala företag i samma landsting eller kommun. Direktåtkomst är dock en utlämnandeform som är speciellt integritetskänslig. Särskild återhållsamhet är därför är påkallad, bl.a. därför att de kommunala företagen kan ha andra intressenter som äger delar av företagen, t.ex. kan kommunala aktiebolag ägas till 49 procent av privata intressenter eller andra sjukvårdshuvudmän, vilket gör situationen avvikande från den då ett och samma landsting eller en kommun organiserat den egna hälso- och sjukvården att bedrivas genom flera myndigheter.
Uppgiftsutbyte inom området vård och omsorg
Som framgått i det föregående har frågan i olika sammanhang väckts rörande huruvida kommunal socialtjänstpersonal skall få föra sina sociala anteckningar i patientjournal som förs inom den kommunala hälso- och sjukvården. Frågan är visserligen angelägen men också komplicerad. Frågan kräver vidare särskilda överväganden och ligger klart utanför vårt uppdrag. Vi behandlar därför inte frågan vidare här. När det gäller vård och omsorg om äldre kan nämnas att regeringen har, i sin nationella utvecklingsplan för vård och omsorg om äldre, framfört sin avsikt att tillsätta en utredare som skall se över och förtydliga regelverket om äldreomsorgen. I uppdraget skall bl.a. ingå att överväga om det bör införas nya bestämmelser för dokumentation
inom kommunernas vård och omsorg om äldre (prop. 2005/06:115 s. 98).
När det gäller överföring av uppgifter från kommunal hälso- och sjukvård till socialtjänst inser vi att det självklart många gånger finns behov av att socialtjänstpersonal får del av vårddokumentation om patienter i den vardagliga vården och omsorgen om äldre eller funktionshindrade som också inbegriper stöd eller andra insatser inom socialtjänsten. Frågan är på vilket sätt det skall få ske.
Såsom vi anfört redan i avsnitt 8.7 är utlämnande genom direktåtkomst en särskilt integritetskänslig form av utlämnande. Vi anser inte att det inom ramen för vårt arbete framkommit skäl att föreslå bestämmelser om gränsöverskridande direktåtkomst för utlämnande av uppgifter från hälso- och sjukvård till socialtjänst. Även elektronisk åtkomst inom en myndighet är att betrakta som integritetskänslig. Av våra förslag i avsnitt 12 framgår att vi anser att endast de som behöver sådan åtkomst för sitt arbete inom hälso- och sjukvården skall få ha sådan elektronisk åtkomst till journalhandlingar och andra personuppgifter som behandlas enligt patientdatalagen. Vi lämnar således inga förslag i dessa delar.
Vi utesluter dock inte att en närmare analys och genomgång av förhållandena på området vård och omsorg leder till andra slutsatser. Det bör i så fall lämpligen göras i särskild ordning. När det gäller vård och omsorg om äldre kan frågan enligt vår mening lämpligen behandlas av den aviserade utredning som bl.a. skall överväga nya bestämmelser för dokumentation inom kommunernas vård och omsorg om äldre (a. prop. s. 98).
Samtidigt vill vi peka på vårt förslag i avsnitt 8.7 om att slopa de nuvarande särskilda begränsningarna i fråga om annat elektroniskt utlämnande än direktåtkomst. Det förslaget undanröjer det rättsliga hindret som i dag finns när det gäller uppgiftslämnande från hälso- och sjukvård till socialtjänst och som beskrivits i avsnitt 14.2.2. Observera att det sagda bara gäller sättet för överföringen. Andra bestämmelser reglerar om uppgifterna alls får lämnas från hälso- och sjukvård till socialtjänst.
15. Verksamhetsuppföljning
15.1. Vårt uppdrag m.m.
Enligt våra direktiv skall våra förslag till reglering omfatta behandlingen av personuppgifter i bl.a. den kvalitetsförbättrande verksamheten inom hälso- och sjukvården. Förslagen skall bl.a. utgå från hur personuppgifter bör hanteras för att förbättra den medicinska och den ekonomiska uppföljningen. I direktiven framhålls att det finns problem med att tolka ändamålsbestämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen). Exempelvis har fråga uppstått i vilken utsträckning personuppgifter i ett vårdregister kan användas för utvärdering, kvalitetssäkring och uppföljning av landstingens verksamhet. Vidare framhålls i direktiven att vårdregisterlagen inte tillåter att uppgifter lämnas ut från ett vårdregister för fortsatt behandling med stöd av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Vi skall i detta hänseende särskilt beakta landstingens möjligheter till uppföljning av sin samverkan med kommunerna kring vissa patientkategorier såsom psykiskt sjuka och äldre. I den mån förtydligande eller tillägg till befintlig lagstiftning bedöms vara nödvändig för att sådan uppföljning skall kunna genomföras, skall vi lämna författningsförslag.
I detta avsnitt behandlar vi frågor som rör möjligheter till personuppgiftsbehandling för verksamhetsuppföljning. Sådan kan inbegripa såväl medicinsk som ekonomisk uppföljning av hälso- och sjukvård. Vårt uppdrag att särskilt behandla frågor om landstingens uppföljning m.m. av läkemedelsförskrivning och läkemedelsanvändning kommer emellertid att behandlas först i vårt slutbetänkande tillsammans med andra frågor som rör läkemedelsområdet.
I detta avsnitt beskrivs till en början, i avsnitt 15.2, översiktligt några pågående aktiviteter på detta område av särskilt intresse. I avsnitt 15.3 redogörs för några problemområden som diskuterats i våra kontakter med några centrala aktörer på området. Våra överväganden redovisas i avsnitt 15.4.
15.2. Om verksamhetsuppföljning
Verksamhetsuppföljning är ett begrepp som kommit att bli centralt i diskussionerna kring hälso- och sjukvårdens utveckling och informationshantering.
Någon allmänt vedertagen definition av begreppet verksamhetsuppföljning har vi inte kunnat finna. Enligt vår uppfattning menar man när man talar om verksamhetsuppföljning i princip samma sak som avses med ”uppföljning, utvärdering och kvalitetssäkring” på verksamhetsområdet i 4 § 2 vårdregisterlagen.
Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kostnadseffektivitet, produktivitet m.m. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården; kliniken, vårdinrättningen, distriktsnämnden, landstinget, sjukvårdsregionen eller nationen. Verksamhetsuppföljning är inget självändamål, dess syfte är att generera kunskap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga.
Verksamhetsuppföljning i olika former har förstås bedrivits av sjukvårdshuvudmännen, dvs. landstingen och kommunerna, och andra vårdgivare sedan länge, såväl på övergripande ledningsnivå som på verksamhetsnivå. År 1997 infördes emellertid ändringar i hälso- och sjukvårdslagen (1982:763) som medförde krav på att sjukvårdhuvudmännen och andra vårdgivare följer upp verksamheten. Bl.a. föreskrevs att ledningen av hälso- och sjukvård skall vara organiserad så att den tillgodoser hög patientsäkerhet och god kvalitet i vården samt främjar kostnadseffektivitet (28 §). Det sistnämnda kravet motiverades bl.a. med att hälso- och sjukvården till övervägande del är finansierad med allmänna medel, vilket medför att krav kan ställas på att medlen används på bästa möjliga sätt (prop. 1995/96:176 s. 56 f.). Vidare infördes en skyldighet för alla vårdgivare att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet, dvs. att bedriva kvalitetssäkring (31 §). Motsvarande bestämmelse togs in i 16 § tandvårdslagen (1985:125). Enligt regeringen var det en uppgift för Socialstyrelsen att i nära samråd med sjukvårdshuvudmännen och berörda professioner inom hälso- och sjukvården konkretisera vilka grundläggande indikatorer som de verksamhetsansvariga skall följa upp. Vidare pekades på att lokalt utvecklingsarbete är av stort värde (a. prop. s. 54).
I Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården har kraven på kvalitetssäkring utvecklats närmare. I Socialstyrelsens vägledning till föreskrifterna, skriften God vård, anges sex olika kvalitetsområden som uppföljning bör vara inriktad på nämligen 1) kunskapsbaserad och ändamålsenlig hälso- och sjukvård, 2) säker hälso- och sjukvård, 3) patientfokuserad hälso- och sjukvård, 4) effektiv hälso- och sjukvård, 5) jämlik hälso- och sjukvård samt 6) hälso- och sjukvård i rimlig tid. Dessa kvalitetsområden har
definierats internationellt och hade redan använts i en del landsting innan de inarbetades i Socialstyrelsens vägledning om god vårdkvalitet.
Socialstyrelsen har sedan år 2001 haft regeringens uppdrag att tillsammans med Landstingsförbundet och Svenska Kommunförbundet (numera Sveriges Kommuner och Landsting) förstärka sitt stöd till sjukvårdshuvudmännen och svara för samordningen av arbetet med att förbättra informationsförsörjningen och verksamhetsuppföljningen inom hälso- och sjukvården. Arbetet har bedrivits i projektet InfoVU med den inriktning som anges i propositionen Nationell handlingsplan för utveckling av hälso- och sjukvården (prop. 1999/2000:149). InfoVU har tillsammans med landsting och kommuner drivit ett antal delprojekt där olika modeller och metoder för verksamhetsuppföljning testats och utvecklats. Dessutom har InfoVU publicerat flera rapporter som berör frågor om verksamhetsuppföljning av resultat, kvalitet och kostnader. I samtliga rapporter framhålls vikten av att verksamhetsuppföljningen baseras på individbaserad patientdata, dvs. personuppgifter som direkt eller indirekt kan härledas till enskilda patienter.
Med verksamhetsuppföljning avses, enligt InfoVU, uppföljning av en verksamhet baserad på sammanställning av individbaserade, sök- och jämförbara data för planering, utveckling och redovisning av vård och omsorg. Verksamhetsuppföljning skall ge svar på frågorna: Vad gjordes? Varför? Hur bra blev det? Vad kostade det? (InfoVU:s slutrapport Mäta och öppet redovisa resultaten i vård och omsorg s. 21 och 111). Ett särskilt mål har varit att skapa en ändamålsenlig vård- och omsorgsdokumentation som kan stödja individbaserad verksamhetsuppföljning; ett annat mål att hitta former för att ge
medborgarna tillgång till öppna redovisningar av jämförelser beträffande hälso- och sjukvårdens kvalitet och tillgång till information om hur resurserna används inom sektorn.
Nära kopplat till InfoVU-projektet har Socialstyrelsen fått några ytterligare uppdrag från regeringen som alla har betydelse för att främja hälso- och sjukvårdens verksamhetsuppföljning. Enligt dessa uppdrag skall Socialstyrelsen 1) i samråd med Sveriges Kommuner och Landsting utarbeta natio-
nella kvalitetsindikatorer som ska kunna spegla olika aspekter av kvalitet inom hälso- och sjukvården, 2) normera användningen av nationella termer och begrepp, 3) ta fram enhetlig informationsstruktur inom hälso- och sjukvård
och omsorg, i syfte att skapa en tydlig information som stöder kommunikation och samverkan mellan huvudmän samt 4) under år 2006 förbereda att ta ett övergripande nationellt och
strategiskt ansvar för att individbaserad information om patienter görs mer entydig, uppföljningsbar och tillgänglig.
Socialstyrelsen har vidare i Hälso- och sjukvårdsrapport 2005 efterlyst politiska beslut om ansvarsfördelningen för nationell verksamhetsuppföljning på hälso- och sjukvårdens område. Vidare har Socialstyrelsen föreslagit att obligatorisk inrapportering av vissa nationella kvalitetsindikatorer skall göras till en central mottagare.
Sveriges Kommuner och Landsting arbetar med att utveckla patientrelaterad kostnadsredovisning som skall utgöra verktyg för landstingen och kommunerna att mäta och förbättra sjukvårdens produktivitet och effektivitet. Så sker bl.a. genom framtagande av gemensamma beräknings- och redovisningsprinciper i ett system som benämns KPP, vilket står för kostnad per patient. Systemet innebär, förenklat uttryckt, att olika insatser och tjänster som utförs åsätts en kostnad som sedan kopplas till varje vårdkontakt. Om uppgifterna sammanställs per patient, dvs. blir individbaserade, kan kostnadseffektivitet m.m. i hela vårdkedjor eller processer följas upp. Sveriges Kommuner och Landsting förvaltar vidare en gemensam nationell databas för viss sjukhusvård innehållande KPP-data och DRG-data (diagnosrelaterade grupper) samt avidentifierade patientdata om enskilda vårdtillfällen. Någon heltäckande mätning finns dock inte.
Sveriges Kommuner och Landsting sköter även den nationella databasen Väntetider i vården till vilka vårdgivare rapporterar förväntade och faktiska väntetider på vissa områden från sina patient-
administrativa system. Databasen innehåller inte personuppgifter som kan härledas till enskilda patienter.
Redovisningen i det föregående åskådliggör översiktligt att verksamhetsuppföljning av hälso- och sjukvård de senaste åren kommit att bli alltmer en nationell angelägenhet.
Parallellt med detta arbete på nationell nivå sker i varierande omfattning utveckling av verksamhetsuppföljning bland sjukvårdshuvudmännen och andra vårdgivare. Detta arbete beskrivs dock inte här. Ett slags verksamhetsuppföljning skall dock nämnas, nämligen den kvalitetssäkring som görs i nära anslutning till den individinriktade patientvården i form av särskilt inrättade kvalitetsregister. Dessa register har vuxit starkt i antal de senaste tio åren och har blivit mer eller mindre rikstäckande på sina specialområden. Flera av dem har därigenom etablerats som nationella kvalitetsregister. Dessa register behandlas närmare i avsnitt 16.
15.3. Problemområde
Under vårt arbete har det i olika sammanhang – bl.a. vid samråd med företrädare för Socialstyrelsen och Sveriges Kommuner och Landsting samt med Nationell psykiatrisamordning – påtalats att lagstiftningen försvårar samverkan mellan kommun och landsting när det främst gäller äldre och dem med psykiska funktionshinder eller sjukdom som behöver stöd och insatser i form av både hälso- och sjukvård och socialtjänst. I avsnitt 14 har dessa problem behandlats när det gäller den individinriktade vården och omsorgen om den enskilda patienten eller brukaren. De påtalade problemen omfattar emellertid även möjligheterna att göra gemensamma verksamhetsuppföljningar över huvudmannagränserna som omfattar de totala insatserna alldeles oavsett om dessa utgör hälso- och sjukvård eller socialtjänst.
Bristande legala möjligheter till gemensam verksamhetsuppföljning baserad på personuppgifter utgör, enligt Socialstyrelsen och Sveriges Kommuner och Landsting, en tillbakahållande faktor när det gäller skapande av gemensamma nämnder eller andra former av samverkansorgan över huvudmannagränser. Samtidigt har huvudmännen i andra författningar ålagts ett ansvar att samverka och tillsammans skapa ett förbättrat omhändertagande av dessa patientkategorier. De legala kraven på samverkan går inte ihop med de legala förutsättningarna för samverkan menar man.
I en rapport om juridiska frågeställningar som aktualiserats i InfoVU-projektet har särskilt pekats på att de olika regleringarna av personuppgiftsbehandling i vårdregisterlagen respektive lagen om personuppgiftsbehandling inom socialtjänsten lett till svåra tolkningsproblem i några av InfoVU:s delprojekt vid uppföljning som inbegripit såväl landstings och kommuners hälso- och sjukvårdsinsatser som insatser från den kommunala socialtjänsten (Rättsfrågor med anknytning till IT i vård och omsorg, Socialstyrelsen, november 2005, s. 65 f.). Även i de fall patienter och brukare lämnat samtycke till en viss personuppgiftsbehandling för uppföljningsändamål, har osäkerhet rått om huruvida personuppgiftsbehandlingen varit laglig eller inte. Främst har det varit vårdregisterlagens ändamålsbestämmelser (3 och 4 §§), bestämmelsen om samkörning (6 §) samt bestämmelsen om när personuppgifter från ett vårdregister får lämnas ut i elektronisk form (9 §) som varit svårtolkade i delprojekten enligt InfoVU:s rapport.
Enligt InfoVU-projektet finns det ett påtagligt och angeläget behov av att utforma en ny lagstiftning för behandling av personuppgifter inom vård och omsorg – dvs. inom verksamhet som bedrivs enligt såväl hälso- och sjukvårdslagen som socialtjänstlagen – som är fullständig och ger stöd för elektronisk personuppgiftsbehandling utan krav på samtycke för samverkan kring patienten eller brukaren dels för vård och behandling, dels för uppföljning, utvärdering och kvalitetssäkring på lokal och regional nivå (a. a. s. 71).
Från Nationell psykiatrisamordning har framförts till utredningen att såväl sekretesslagstiftningen som vårdregisterlagen begränsar landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst till personer med psykiska sjukdomar eller funktionshinder. Bl.a. behöver gemensamma personuppgiftsbehandlingar göras vid inventeringar av vilka personer med psykiska sjukdomar eller funktionshinder som kan ha behov av insatser och hur behoven ser ut. Enligt 5 kap. 8 § socialtjänstlagen (2001:453) har kommunerna en skyldighet att bedriva en uppsökande verksamhet och att planera sina insatser för människor med fysiska och psykiska funktionshinder. I planeringen skall kommunerna samverka med landsting samt andra samhällsorgan. Även vid utvärdering av den hälso- och sjukvård som ges av landstingen och kommunerna sägs det finnas ett påtagligt behov av att kunna behandla personuppgifter som dokumenterats hos båda huvudmännen och i olika verksamheter, hälso- och sjukvård samt socialtjänst. I praktiken går dessa
verksamheter in i varandra och resultaten kan inte mätas eller utvärderas om inte samlade uppföljningar kan göras. Helt avidentifierade uppgifter anses inte kunna användas i detta sammanhang. Däremot kan uppgifterna kodas vid den bearbetning som sker centralt. Likväl är det fråga om personuppgiftsbehandling.
Mellan kommun och landsting samt mellan kommunal hälso- och sjukvård samt socialtjänst åt psykiskt funktionshindrade eller sjuka går vidare sekretessgränser, något som ytterligare försvårar en ändamålsenlig verksamhetsuppföljning enligt Nationell psykiatrisamordning. Inom psykiatrin och näraliggande områden förekommer att just de patienter/brukare som har de allra största behoven vägrar att samtycka till att uppgifter om dem lämnas ut till en annan myndighet eller verksamhet. Därför anser Nationell psykiatrisamordning det inte vara en tillfredsställande lösning att basera verksamhetsuppföljningen på uppgifter om bara dem som samtycker. När det gäller uppgifter om psykisk ohälsa leder vidare en menprövning enligt hälso- och sjukvårdssekretessen och socialtjänstsekretessen ofta till att en uppgift inte kan lämnas ut. Menprövningen i sig gör vidare verksamhetsuppföljningen klart ineffektiv.
I en skrivelse till Socialdepartementet – Inriktning och arbetsplan för Nationell psykiatrisamordning under 2006 – har Nationell psykiatrisamordning härutöver bl.a. framfört att det behövs nationell statistik och underlag för uppföljning av resultat på olika nivåer, även nationellt.
15.4. Våra överväganden
Vår bedömning: Våra förslag i tidigare avsnitt innebär förbättrade möjligheter till verksamhetsuppföljning inom hälso- och sjukvården. Även uppföljning av hälso- och sjukvårdens samverkan med kommunernas omsorgsverksamhet underlättas genom våra förslag. Vi föreslår också bestämmelser om verksamhetsuppföljning genom kvalitetsregister. Dessa förslag behandlas i avsnitt 16.
15.4.1. Verksamhetsuppföljning inom en vårdgivares verksamhet
Av våra förslag till ändamålsbestämmelser i patientdatalagen framgår att vi föreslår att personuppgifter som primärt samlas in därför att de behövs i den individinriktade patientverksamheten, dvs. vårddokumentation, skall få lov att användas för verksamhetsuppföljning på ett mer eller mindre övergripande plan inom en vårdgivares verksamhet även utan krav på samtycke från den enskilde. Så gäller redan i dag enligt vårdregisterlagens ändamålsbestämmelser. Som framgått av avsnitt 8.2.3 anser vi därutöver att verksamhetsuppföljning (uppföljning, utvärdering och kvalitetssäkring) skall vara primära ändamål. Vidare har vi i avsnitt 8.2.4 föreslagit att de nuvarande begränsningarna i fråga om samkörning av vårdregister, dvs. elektroniska journalsystem och patientadministrativa system, med andra register avskaffas.
Dessa förslag undanröjer de oklarheter som i dag anses gälla i fråga om de rättsliga förutsättningarna för myndigheter inom hälso- och sjukvården och privata vårdgivare att behandla personuppgifter för ändamålet att följa upp sin egen verksamhet.
Vi vill dock påtala att det inte heller med våra förslag kommer att vara tillåtet att basera verksamhetsuppföljningen på personuppgifter, dvs. uppgifter som direkt eller indirekt kan hänföras till en enskild person, om det är tillräckligt att använda avidentifierade uppgifter. Vidare är det vår uppfattning att begränsningen i 9 § första stycket f personuppgiftslagen (1998:204), om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, innebär att personuppgifter som endast indirekt pekar ut den enskilde i första hand skall användas. Ofta torde det vara möjligt att utesluta namn och fullständiga personnummer då personuppgifter behandlas för ändamålen kvalitetssäkring eller annan verksamhetsuppföljning, i vart fall under delar av bearbetningen.
Uppföljning av hälso- och sjukvård på ett övergripande plan inom en myndighet är inte en egen verksamhetsgren som är självständig i förhållande till den individinriktade verksamheten inom samma myndighet på sätt som avses i 1 kap 3 § sekretesslagen. I förarbetena till lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet framhöll regeringen, med anledning av Lagrådets påpekande, att planering, uppföljning och utvärdering av verksamheten i fråga måste anses vara en så integrerad del av själva verksamheten att den inte kan ses som en fristående aktivitet.
Att personuppgifter som får behandlas för vissa i registerlagen angivna ändamål även får behandlas för planering m.m. är så självklart att det inte behöver anges som eget ändamål (prop. 2004/05:164 s. 66).
Som nyss sagts anser vi att det på hälso- och sjukvårdens område finns behov av särskilda ändamålsbestämmelser om verksamhetsuppföljning. Med hänvisning till nämnda förarbetsuttalande vill vi emellertid ytterligare understryka att det inte finns någon formell gräns mellan verksamhetsuppföljning på ett övergripande plan och den individinriktade patientvården. Det finns således ingen sekretessgräns mellan dessa verksamheter, så länge de äger rum inom samma myndighet. Det sagda gäller även för en gemensam nämnd eller ett kommunförbund mellan sådan hälso- och sjukvård som t.ex. några kommuner och ett landsting fört in i nämnden eller förbundet.
Däremot finns en sekretessgräns mellan olika myndigheter inom ett landsting eller en kommun även om dessa myndigheter driver samma slags verksamhet, dvs. hälso- och sjukvård. Detsamma gäller mellan hälso- och sjukvård som bedrivs hos ett sådant kommunalt företag som avses i 1 kap. 9 § sekretesslagen och sådan hälso- och sjukvård som bedrivs hos det landsting eller den kommun som äger företaget. För att verksamhetsuppföljning genom gemensam behandling av personuppgifter som härrör från olika nämnder och kommunala företags verksamheter hos ett och samma landsting skall kunna ske på central nivå, krävs alltså att en sekretessprövning leder till bedömningen att uppgifterna kan lämnas ut till den myndighet där den centrala uppföljningen är avsedd att ske. Sekretesslagen torde således innebära en begränsning av möjligheterna till gemensam och individbaserad uppföljning avseende en sjukvårdshuvudmans totala produktion av hälso- och sjukvård.
Våra förslag i avsnitt 14.4.1 om att i sekretesslagen i praktiken genomföra Offentlighets- och sekretesskommitténs (OSEK) förslag om slopade sekretessgränser mellan nämnder och kommunala företag i samma kommun eller i samma landsting, har således betydelse inte bara i det individinriktade patientarbetet utan omfattar också utbyte av personuppgifter i uppföljningssyfte. Det kommer att kunna ske utan hinder av sekretess enligt vårt förslag.
Sammanfattningsvis innebär således patientdatalagen i förening med förslaget om slopade sekretesshinder mellan hälso- och sjukvårdsverksamhet inom ett landsting eller en kommun att sjukvårdshuvudmännen och privata vårdgivare får avsevärt förbättrade rättsliga möjligheter att utan patienternas samtycke företa verksamhetsupp-
följning baserad på patientdata jämfört med vad som följer av gällande rätt. Exempelvis kan med våra förslag olika journal- och patientadministrativa system som kan finnas utspridda i landstinget samköras även om något system hör till ett landstingskommunalt företag och alldeles oavsett att syftet är något slag av verksamhetsuppföljning. Det sagda förutsätter förstås att patientdatalagens och personuppgiftslagens övriga bestämmelser följs. Det innebär t.ex. att uppgifter som kan härledas till en patient bara får användas om det verkligen behövs för att göra uppföljningen ändamålsenlig.
De förbättrade möjligheterna inom ramen för en sjukvårdshuvudmans eller annan vårdgivares hälso- och sjukvårdsverksamhet gäller alldeles oavsett om det närmare syftet med att följa upp verksamheten tar sikte på t.ex. den medicinska kvaliteten i vården eller på verksamhetens kostnadseffektivitet.
Den breda enkätundersökning bland allmänheten som vi låtit Statistiska Centralbyrån utföra under år 2005, ger emellertid vid handen att enskilda gör en väsentlig skillnad mellan medicinsk och ekonomisk uppföljning. Enligt undersökningen är nära 70 procent negativa eller tveksamma till att hälso- och sjukvården får använda uppgifter i patientjournaler som underlag för ekonomisk uppföljning av verksamheten. När det gäller att medicinskt följa upp och förbättra kvaliteten i hälso- och sjukvården är attityden avsevärt mera positiv; bara knappt 30 procent är negativa eller tveksamma till en sådan användning. En överväldigande majoritet, 80 procent, anser att patienten själv skall få bestämma vilka uppgifter ur patientjournaler som skall få användas eller i vart fall kunna få motsätta sig att uppgifter används för medicinsk- eller ekonomisk uppföljning.
Vi har emellertid menat att sjukvårdshuvudmännens och andra vårdgivares ansvar för verksamhetens patientsäkerhet, medicinska kvalitet, kostnadseffektivitet m.m. kräver goda uppföljningsverktyg. Det allmänna intresset av att uppföljningen av den egna verksamheten kan baseras på personuppgiftsbehandling motiverar alltså de rättsliga möjligheter som följer av våra förslag. I sammanhanget kan påpekas att verksamhetsuppföljning inte medför någon nämnvärd spridning av personuppgifter inom en vårdgivares verksamhet, bl.a. därför att själva personuppgiftshanteringen vid verksamhetsuppföljning normalt engagerar endast en liten krets av anställda. Med tanke härpå och med tanke på vikten av att verksamhetsuppföljningen är baserad på ett heltäckande och korrekt material, har vi funnit att det inte bör införas någon rätt för patienten att begränsa användningen av uppgifterna för verksamhetsuppföljning som skulle
kunna sägas motsvara den rätt som vi i avsnitt 12 föreslagit att patienten skall kunna få uppgifter spärrade från åtkomlighet för en större krets av hälso- och sjukvårdpersonal. I detta fall menar vi att vårdgivarens och det allmännas intresse väger tyngre än den enskildes intresse av största möjliga integritetsskydd. Vi föreslår således ingen rätt för den enskilde patienten att motsätta sig att uppgifter om honom eller henne används vid uppföljning av en vårdgivares egen verksamhet.
15.4.2. Verksamhetsuppföljning på området vård och omsorg
Vårt övergripande uppdrag är att se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området. Något mandat i fråga om socialtjänstverksamhet framgår inte av våra direktiv. Det innebär bl.a. att vi inte närmare analyserat i vad mån socialtjänstsekretessen eller bestämmelserna i lagen om behandling av personuppgifter inom socialtjänsten och anslutande förordning utgör hinder för gemensamma verksamhetsuppföljningar på området vård och omsorg.
Däremot skall vi i samband med översynen av vårdregisterlagens bestämmelser särskilt beakta landstingens möjligheter till uppföljning av sin samverkan med kommunerna kring vissa patientkategorier såsom psykiskt sjuka och äldre. Vårt uppdrag är alltså begränsat när det gäller området vård och omsorg.
I våra första tilläggsdirektiv anges att vårdregisterlagen inte tillåter att uppgifter lämnas ut från ett vårdregister för fortsatt personuppgiftsbehandling med stöd av lagen om behandling av personuppgifter inom socialtjänsten. Härmed torde avses bestämmelsen i 9 § vårdregisterlagen som reglerar sättet för utlämnande, dvs. huruvida uppgifterna får lämnas ut elektroniskt eller inte.
Vårdregisterlagens ändamålsbestämmelser hindrar, som vi ser det, inte ett utlämnande till kommunal socialtjänst för fortsatt behandling enligt lagen om behandling av personuppgifter inom socialtjänsten. Av förarbetena till vårdregisterlagen framgår att lagen inte är avsedd att reglera i vad mån personuppgifter i ett vårdregister över huvud taget får lämnas ut till en extern mottagare. Den frågan avgörs efter en prövning enligt sekretesslagen (prop. 1997/98:108 s. 77 f. och 88). Däremot utgör 9 § vårdregisterlagen ett hinder mot att lämna ut personuppgifter elektroniskt från ett vårdregister hos ett
landsting till en kommun som avser att efter mottagandet behandla uppgifterna med stöd av lagen om behandling av personuppgifter inom socialtjänsten. Även 6 § vårdregisterlagen – som föreskriver att uppgifter får hämtas till ett vårdregister genom samkörning från andra vårdregister bara om de behövs i vården eller i ekonomiadministrationen av vården samt även från folkbokföringsdatabasen, annat befolkningsregister eller patientens läkemedelsförteckning – torde begränsa landstingens möjligheter att delta i gemensam verksamhetsuppföljning på vård och omsorgsområdet som innefattar personuppgiftsbehandling från både hälso- och sjukvård och socialtjänst.
Våra förslag i avsnitt 8.2 och 8.7 om att avskaffa begränsningarna i fråga om såväl samkörning som elektroniskt utlämnande kommer därför att avsevärt underlätta för landsting och kommuner att samlat göra uppföljningar av sin samverkan på vård- och omsorgsområdet. Detta gäller i fråga om både äldreomsorgen och vården och omsorgen om psykiskt sjuka eller funktionshindrade samt i fråga om andra områden som involverar både hälso- och sjukvård och socialtjänst.
Emellertid innebär det sagda inget undantag från kravet på att en sekretessprövning måste göras då uppgifter lämnas till eller från landstingen eller annars korsar en sekretessgräns i syfte att göra en gemensam verksamhetsuppföljning. Vi har i avsnitt 14.2 redogjort för sekretessförhållandena på området vård och omsorg och för förutsättningarna att överföra uppgifter över gränser utan den enskildes samtycke. Jämfört med vad som gäller i den individinriktade verksamheten torde emellertid en menprövning enligt sekretesslagen oftare leda till bedömningen att uppgiften inte kan lämnas ut, om syftet med utlämnandet är verksamhetsuppföljning och inte att bereda den enskilde vård eller annan omsorg. Särskilt när det gäller verksamhetsuppföljning avseende patienter med psykisk ohälsa kan sekretessen, såsom Nationell psykiatrisamordning påpekat, antas innebära hinder mot verksamhetsuppföljningar som omfattar alla olika insatser i vården och omhändertagandet.
Samtidigt har vi ingen anledning att betvivla att det just på vård- och omsorgsområdet finns stora möjligheter att förbättra det samlade omhändertagandet, om gemensam verksamhetsuppföljning av insatserna kan göras över de formella gränser som idag finns mellan huvudmännen.
Vi instämmer således i att det finns behov av att se över sekretessfrågor i samband med verksamhetsuppföljning på vård och omsorgsområdet. Detta har dock inte legat inom ramen för Patientdata-
utredningens uppdrag. En sådan översyn kräver vidare en närmare utredning och genomgång av förhållandena på socialtjänstens område.
I regeringens nationella utvecklingsplan för vård och omsorg om äldre har regeringen framfört sin avsikt att tillsätta en utredare som skall se över och förtydliga regelverket om äldreomsorgen. I uppdraget skall bl.a. ingå att överväga om det bör införas nya bestämmelser för dokumentation inom kommunernas vård och omsorg om äldre (prop. 2005/06:115 s. 98). En faktor som lyfts fram av regeringen är att det kan uppstå sekretessproblem i informationsöverföringen mellan hälso- och sjukvårdspersonal och socialtjänstpersonal. Enligt vår uppfattning kan det vara lämpligt att den kommande utredningen i samband med denna fråga även behandlar frågor om samordnad verksamhetsuppföljning som omfattar båda typerna av insatser. Vi vill emellertid erinra om vad regeringen tidigare uttalat när det gäller sekretess i integrerad äldrevård och omsorg. Regeringen gjorde i samband med Ädelformen gällande att det inte finns någon sekretessgräns mellan de sociala och de medicinska insatserna som bedrivs integrerat i samma nämnd (prop. 1990/91:14 s. 85). Vi instämmer i regeringens tidigare bedömning. Socialtjänsten och kommunens hälso- och sjukvård utgör i detta sammanhang helt enkelt inte självständiga verksamhetsgrenar på sätt som krävs enligt 1 kap. 3 § sekretesslagen för att en sekretessgräns skall uppstå, se avsnitt 14.2.2 och 14.4.1.
Även Nationell psykiatrisamordning har i den tidigare nämnda skriften till Socialdepartementet aviserat att ändringar kan komma att föreslås i sekretesslagen liksom lagändringar både i fråga om gemensam dokumentation och i fråga om gemensamma uppföljningar.
15.4.3. Annan verksamhetsuppföljning över vårdgivargränser
Våra förslag i avsnitt 11 om sammanhållen journalföring och därtill kopplade sekretessbrytande undantag innebär en genomgripande förändring av tillgängligheten till journalinformation och annan vårddokumentation inom hälso- och sjukvården. För att allmänhetens förtroende till hälso- och sjukvårdens informationshantering inte skall sättas i fara, menar vi att denna nyordning inte bör innebära att den sammanhållna journalföringen också används för andra syften än patientvård eller för att på patientens begäran utfärda intyg, t.ex. för olika slags verksamhetsuppföljningar över vårdgivargränser. I
annat fall befarar vi att alltför många kommer att vilja spärra sina uppgifter från tillgänglighet i den sammanhållna journalen. En sådan utveckling skulle motverka de vinster för patientsäkerheten som är det huvudsakliga syftet med den sammanhållna journalföringen. I sammanhanget kan nämnas att resultaten från vår enkätundersökning bland allmänheten talar för att vår uppfattning inte är grundlös, se ovan avsnitt 15.4.1.
Det sagda hindrar dock inte vårdgivare A från att följa upp den egna verksamheten genom att använda den egna vårddokumentationen och, om det verkligen bedöms vara nödvändigt, den vårddokumentation hos vårdgivare B som vårdgivare A med patientens samtycke tagit del av genom sin direktåtkomst och som lagts till grund för det egna arbetet. Våra förslag innebär således inga försämrade möjligheter till verksamhetsuppföljning än vad hälso- och sjukvården i dag har. Snarare torde möjligheterna förbättras.
Med utvecklade metoder för kodning eller andra former av pseudonymer för personuppgifter som finns i ett system för sammanhållen journalföring torde det nämligen finnas vissa möjligheter att göra gemensamma och övergripande verksamhetsuppföljningar med användning av IT. Detta kräver dock – till skillnad från när uppgifter lämnas ut enligt bestämmelserna om direktåtkomst vid sammanhållen journalföring – att alla vårdgivare gör en sekretessprövning avseende sina uppgifter och att denna prövning utfaller i bedömningen att uppgifterna kan lämnas ut för ändamålet verksamhetsuppföljning. I vilka fall detta kan ske går inte att göra några generella uttalanden om.
Som framgått av avsnitt 15.2 pågår för närvarande ett intensivt arbete på nationell nivå med att ta fram förbättrade verktyg för verksamhetsuppföljning inom hälso- och sjukvården. Vidare diskuteras i olika sammanhang behovet av nationella uppföljningar av hälso- och sjukvårdens kvalitet och resultat.
Det är emellertid oklart i hur stor omfattning personuppgifter om enskilda patienter, dvs. patientdata, kommer att behöva bearbetas och analyseras av annan än den vårdgivare som ansvarar för uppgifterna för att önskemål om en utvecklad nationell och heltäckande verksamhetsuppföljning skall förverkligas. Vi vet alltså inte i hur stor omfattning som det växer fram behov av ytterligare personuppgiftsbehandling och ytterligare möjligheter till överföring av personuppgifter än vad våra tidigare förslag möjliggör. Vi har därför inte sett skäl att inom ramen för vårt arbete föreslå några särskilda bestämmelser som tar sikte på nämnda planer.
Däremot ingår det i vårt uppdrag att särskilt behandla den form av verksamhetsuppföljning över vårdgivargränser som sker i nationella kvalitetsregister.
Dessa inrättas med det huvudsakliga syftet att följa upp medicinsk och annan kvalitet i själva vårdinsatserna och alltså inte för att kontrollera sjukvårdens kostnadseffektivitet och produktivitet allmänt sett. I nästa avsnitt, avsnitt 16, kommer vi att föreslå att vissa särbestämmelser skall gälla för nationella och regionala kvalitetsregister. Där kommer vi att föreslå att det skall framgå att det är kvaliteten i vårdinsatserna som skall vara centrala för att särbestämmelserna skall vara tillämpliga.
Någon knivskarp gräns mellan medicinsk och ekonomisk verksamhetsuppföljning går visserligen knappast att dra. Det ser vi dock inte som något betydande problem. Vi menar att det genom våra förslag i nästa avsnitt går att identifiera vad som skall vara det centrala i ett kvalitetsregister, uppföljning av vårdinsatserna, och att det är den motsatta ytterligheten som kan vara bekymmersam från integritetssynpunkt. Det kommer t.ex. framgå att de särskilda bestämmelserna om kvalitetsregister inte är tillämpliga på ett register vars huvudsakliga syfte är att följa upp hälso- och sjukvårdens kostnadseffektivitet. Däremot finns givetvis inget hinder mot att den statistik som framställs i kvalitetsregistren används på olika nivåer som analys- och beslutsunderlag vid beräkning av kostnadseffektivitet, produktivitet, administrativ planering och liknande. Detta kommer att framgå av våra förslag i avsnitt 16.
15.4.4. Sammanfattning
Sammanfattningsvis innebär våra förslag följande när det gäller medicinsk, ekonomisk och annan verksamhetsuppföljning inom hälso- och sjukvården.
1. Kommunernas, landstingens och de privata vårdgivarnas möjligheter att ur olika aspekter följa upp sin verksamhet genom uppföljning baserad på individbunden patientdata ökar med våra förslag. De nuvarande oklarheterna i vårdregisterlagen tas bort. Verksamhetsuppföljning blir ett primärt ändamål och begränsningen i fråga om samkörning mellan vårdregister avskaffas. Genom att sekretessgränser i praktiken upphävs mellan olika myndigheter inom hälso- och sjukvården samt kommunala företag enligt 1 kap. 9 § sekretesslagen vilka ingår i samma kommun
eller landsting, underlättas övergripande verksamhetsuppföljning avseende en offentlig vårdgivares totala hälso- och sjukvårdsproduktion. Förslaget innebär t.ex. att samkörning kan göras mellan olika journal- och patientadministrativa system som kan finnas utspridda i landstinget även om något system hör till ett landstingskommunalt företag och alldeles oavsett om syftet är något slag av verksamhetsuppföljning. Detta förutsätter förstås att patientdatalagens och personuppgiftslagens övriga bestämmelser följs. Det sagda innebär bl.a. att uppgifter som kan härledas till en patient bara får användas, om det verkligen behövs för att göra uppföljningen ändamålsenlig. I annat fall skall avidentifierade uppgifter användas.
2. Den avskaffade begränsningen i fråga om när patientdata får samköras eller lämnas ut elektroniskt öppnar för mer gränsöverskridande personuppgiftsbehandlingar på området vård och omsorg för bl.a. uppföljningsändamål. Detta förutsätt dock att sekretess inte hindrar uppföljningen. Den enskildes samtycke till uppföljningen torde därför i allmänhet krävas. Observera att i integrerade verksamheter avseende vård och omsorg om äldre i en och samma kommunala nämnd, finns normalt inga sekretessgränser.
3. Nationella och regionala kvalitetsregister omfattas av vissa särbestämmelser i patientdatalagen, se avsnitt 16.
16. Kvalitetsregister
16.1. Vårt uppdrag
Vårt huvuduppdrag enligt de ursprungliga direktiven (dir. 2003:42) är att föreslå en författningsreglering av personuppgiftsbehandlingen i nationella kvalitetsregister inom hälso- och sjukvården. Vidare ingår i ursprungsuppdraget att analysera vissa sekretessproblem med anknytning till kvalitetsregisterföringen samt att, i förekommande fall, lämna förslag till befogade författningsändringar. Genom våra första tilläggsdirektiv (dir. 2004:95) har vi vidare fått uppdraget att behandla frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifter i kvalitetsregister. Vid behov skall vi lämna förslag till bestämmelser om detta.
Genom de förslag som vi lämnat i fråga om patientdatalagens tilllämpningsområde (avsnitt 7.3.1 och 7.3.2) samt i fråga om ändamål (avsnitt 8.2) framgår att personuppgiftsbehandlingen i hälso- och sjukvårdens kvalitetsregister kommer att omfattas av patientdatalagens särreglering i förhållande till personuppgiftslagen. Vi har emellertid ställt oss frågan huruvida och i så fall i vilken utsträckning det finns anledning att föreslå specialbestämmelser för hälso- och sjukvårdens kvalitetsregister utöver de övriga förslagen till bestämmelser om personuppgiftsbehandling i patientdatalagen.
Efter en allmän beskrivning av hälso- och sjukvårdens kvalitetsregisterarbete, avsnitt 16.2, och gällande rätt, avsnitt 16.3, redogör vi för våra överväganden när det gäller särbestämmelser i avsnitt 16.4. Därefter behandlar vi sekretessproblematiken kring kvalitetsregistren i avsnitt 16.5 samt internationella aspekter i avsnitt 16.6.
Vi vill framhålla att det i vårt uppdrag inte ingår att överväga om deltagande i nationella kvalitetsregister skall göras till en obligatorisk uppgift för hälso- och sjukvårdens aktörer. Inte heller ingår det att behandla frågor som rör öppen redovisning till allmänheten av
den statistik över behandlingsresultat m.m. på klinik/sjukhus/landstingsnivå etc. som sammanställs i kvalitetsregisterarbetet.
Slutligen vill vi även framhålla att det i vårt uppdrag ingår att ta ställning till om det behövs en författningsreglering av personuppgiftsbehandlingen i de sex regionala cancerregistren; en särskild kategori register som förs vid respektive sjukvårdsregions onkologiska centrum. Denna fråga och andra frågor med anknytning till de regionala cancerregistren kommer att behandlas i vårt slutbetänkande. Som kommer att framgå nedan behandlas emellertid kvalitetsregister inom cancerområdet i detta avsnitt, även de som administreras vid onkologiska centrum.
16.2. Om kvalitetsregisterföring
Organisation
Som redovisats i avsnitt 8.2.3 är det en central uppgift inom hälso- och sjukvården att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet; en verksamhet som vi kallar kvalitetssäkring. Inom hälso- och sjukvården förekommer olika metoder att mäta och utveckla kvaliteten i verksamheten. En metod är att samla och analysera patientbundna data om diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister.
Nationella kvalitetsregister är en särskild kategori uppgiftssamlingar som finns inom hälso- och sjukvården, främst inom medicinska specialiteter. De äldsta registren som fortfarande är i drift startades inom ortopedin redan på 1970-talet (Nationella knäplastikregistret och Nationalregistret för höftledsplastiker). Från 1990-talet och framåt har etableringen av nationella kvalitetsregister ökat väsentligt och i dag finns ett drygt åttiotal register. Någon klar definition av vad som är ett nationellt kvalitetsregister finns inte men i det följande används beteckningen för kvalitetsregister som förs eller utvecklas med målet att bli rikstäckande inom sina specifika områden.
Nationella kvalitetsregister har oftast byggts upp genom frivilliga initiativ av specialistföreningar för läkare för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. Genom systematiken i registren avses kunskapen om medicinska åtgärder och ingrepp öka. Många register har börjat som lokala eller regionala register och har sedan vuxit till att få en mer rikstäckande karaktär som möjliggör nationell uppföljning. Genom att man på nationell nivå enas om vik-
tiga begrepp och kvalitetsindikatorer inom ett specialområde förbättras både den lokala kvalitetsuppföljningen på enskilda kliniker och den nationella uppföljningen. I det lokala arbetet ger kvalitetsregistren möjligheter för kliniken att jämföra sina resultat med andra kliniker spridda över landet. Möjligheten till nationell uppföljning och jämförelse är en av orsakerna till att de nationella kvalitetsregistren anses vara en nationell angelägenhet. Exempelvis anses registren bidra till att utjämna regionala och andra skillnader i svensk hälso- och sjukvård när det bl.a. gäller utbud, tillgänglighet, kliniska resultat och långsiktig patientnytta med olika behandlingsmetoder. Det innebär i sin tur att kvalitetsregistren främjar en god vård på lika villkor för hela befolkningen, vilket enligt 2 § hälso- och sjukvårdslagen (1982:763) är ett grundläggande mål för all hälso- och sjukvård. Ofta har kvalitetsregistren direkt patientnytta i det att de används som underlag vid beslut om behandlingsmetod för den enskilda patienten.
Mot bakgrund av kvalitetsregistrens positiva betydelse för vårdkvaliteten på ett nationellt plan, har staten sedan år 1990 avsatt medel inom ramen för de s.k. Dagmaröverenskommelserna för att stödja utvecklingen och driften av nationella kvalitetsregister. Från år 1999 har medlen i stället förts in i Socialstyrelsens ramanslag. För år 2006 har 57 nationella kvalitetsregister fått statliga medel till uppbyggnad eller drift av registren. Alla nationella kvalitetsregister får alltså inte medel.
Sveriges Kommuner och Landsting, Socialstyrelsen, Svenska Läkaresällskapet och Svensk Sjuksköterskeförening samarbetar i en gemensam beslutsgrupp som årligen tar ställning till ansökningar om statliga medel till utveckling eller förande av nationella kvalitetsregister. En expertgrupp bistår beslutsgruppen. Den löpande administrativa hanteringen sköts av Socialstyrelsen. Beslutsgruppen lämnar dessutom annat stöd till förandet av nationella kvalitetsregister, t.ex. genom att anordna årligen återkommande konferenser, Kvalitetsregisterdagar, för registerförare och andra berörda intressenter.
Det kan också nämnas att Socialstyrelsens Epidemiologiska Centrum, EpC, har en uttalad funktion att lämna viss praktisk och annan hjälp till förare av nationella kvalitetsregister. EpC ger t.ex. råd och tekniskt stöd beträffande registerdrift, statistiska och epidemiologiska metoder samt vid skapandet av databaser för uppföljning och forskning med utgångspunkt i kvalitetsregister.
Även om kvalitetsutveckling och kvalitetssäkring är en författningsreglerad skyldighet finns inget krav på att detta skall ske via kvalitetsregister. Samtliga nationella kvalitetsregister som i dag förs
förutsätter därför att deltagande enheter frivilligt inrapporterar uppgifter till registren. Någon uppgiftsskyldighet för inrapporterande enheter motsvarande vad som gäller för de centrala hälsodataregistren finns alltså inte.
Driften av ett nationellt kvalitetsregister är ofta organiserad på det viset att det finns en styrgrupp som ansvarar för och fattar beslut centralt om registret, t.ex. i fråga om vilka personuppgifter och övriga variabler som skall registreras eller i vad mån uppgifter från registren skall lämnas ut till ett forskningsprojekt. Någon i styrgruppen brukar utses att ha det löpande ledningsansvaret för registret. Denne benämns ofta som registeransvarig eller registerhållare. Inte sällan finns dessutom ett fåtal andra personer som sköter den dagliga och praktiska personuppgiftsbehandlingen i registren. Flera register har särskilt utsedda kontaktmän vid de deltagande vårdenheterna.
Sedan ett par år finns tre särskilda kompetenscentrum för nationella kvalitetsregister; Uppsala Clinical Research and Registry Center (UCR), EyeNet Sweden och Nationellt Kompetenscentrum för Ortopedi (NKO). Kompetenscentrumens uppgift är bl.a. att verka för tillkomsten av nya register och att skapa synergieffekter i samarbetet mellan register t.ex. vid teknisk drift, och analysarbete. Även om något av kompetenscentrumen medverkar vid den tekniska driften och i analysarbetet i en ganska stor mängd nationella kvalitetsregister, är det fortfarande självständiga registerhållare som driver kvalitetsregistren. Flera nationella kvalitetsregister är alls inte anslutna till något kompetenscentrum.
Utöver de nationella kvalitetsregistren förs en mängd register för uppföljning och kvalitetssäkring inom hälso- och sjukvård på lokal eller regional nivå.
Omfattning
Som nyss sagts finns i dag ett drygt åttiotal nationella kvalitetsregister som sammantaget omfattar eller syftar till att omfatta en mängd uppgifter som direkt eller indirekt kan härledas till enskilda personer. Av de redan etablerade registren är vissa av begränsad omfattning, eftersom de gäller högspecialiserad vård av patienter med relativt sällsynta sjukdomar. Andra register gäller mera vanliga sjukdomar och omfattar tiotusentals patienter. Över huvud taget finns de etablerade registren främst inom den på sjukhus bedrivna specialistvården. På andra områden inom hälso- och sjukvården håller dock kvalitets-
register på att växa fram mer och mer. Det kan t.ex. nämnas att kvalitetsregister för psykiatrin är under uppbyggnad. För år 2006 har fyra nationella kvalitetsregister inom detta område beviljats särskilda anslag från Nationell psykiatrisamordning. Även för äldrevården planeras en etablering av nationella kvalitetsregister.
Registrens syfte
Redan av registrens beteckning framgår att kvalitetssäkring och kvalitetsutveckling på ett nationellt plan är det övergripande ändamålet med personuppgiftsbehandlingen i samtliga nationella kvalitetsregister. I de registerpresentationer som finns tillgängliga utvecklas ändamålen i allmänhet närmare i enlighet med följande exemplifiering över vanliga preciserade syften.
1. att uppnå nationellt likvärdig och hög kvalitet på vården genom
att bl.a. identifiera regionala eller andra skillnader i tillgång på vård, behandlingsmetoder m.m.
2. att ge stöd åt lokal kvalitetssäkring och kvalitetsförbättring genom
att framställa och tillhandahålla statistik som jämförelsedata.
3. att analysera skillnader, regionala eller över tid, i fråga om in-
sjuknande och vårdbehov inom landet.
4. att utvärdera skillnader i diagnostik och behandlingsmetoder inom
landet för att ge kunskap om vilka metoder som är optimala.
5. att möjliggöra att nya behandlingsmetoder sprids inom landet.
6. att mäta kostnadseffektivitet.
7. att värdera nyttan av och eventuella risker med nya behandlings-
metoder.
8. att underlätta och utgöra bas för forskning (inkl. epidemiolo-
giska undersökningar) och andra studier.
9. att genom kort- och långtidsuppföljning mäta vårdresultat i för-
hållande till patientens upplevda tillfredsställelse med vården. 10. att ge fördjupade kunskaper om särskilda sjukdomar. 11. att ge underlag för planering av hälso- och sjukvård. 12. att ge underlag till hälsoekonomiska bedömningar.
På senare år har kvalitetsregistren kommit att spela en allt större roll för sjukvårdhuvudmännens politiska och administrativa ledningsorgan i deras övergripande planering, upphandling och liknande styrning av hälso- och sjukvård. Socialstyrelsen och Sveriges Kommuner och Landsting arbetar dessutom numera aktivt med att kvalitets-
registren i allt större utsträckning skall öppnas för insyn för patienter och medborgare i allmänhet. Härmed menas inte insyn i de personuppgifter som finns i kvalitetsregistren utan insyn i vilka resultat olika deltagande sjukhus eller kliniker uppnår. Det handlar alltså om allmänhetens och patienters tillgång till registeranalyser m.m. för att bilda sig en uppfattning om olika verksamheters jämförelsevisa kvalitet och patientnytta. Därigenom ökar patientens möjligheter att välja vårdgivare på ett initierat sätt. I detta sammanhang framhålls ofta kvalitetsregistrens potential att stärka patientens ställning inom hälso- och sjukvården.
Innehåll
Typiskt för de nationella kvalitetsregistren i förhållande till Socialstyrelsens hälsodataregister är att de först nämnda innehåller mer detaljerad information om diagnos, sjukdomsförlopp, vårdinnehåll och behandlingsresultat. Vidare innehåller kvalitetsregistren i allmänhet fler viktiga bakgrundsuppgifter om patienterna. Kvalitetsregistren är å andra sidan inte lika heltäckande som hälsodataregistren, vilka omfattar all sjukvård och i vilka varken personalens eller patienternas deltagande är frivilligt utan obligatoriskt.
Givetvis är spännvidden stor både när det gäller arten och antalet personuppgifter för varje registrerad patient som behandlas i de olika registren. Ofta registreras patientens personnummer och namn. I flera register registreras dock bara patientens ålder och kön. Huruvida sådana register innehåller avidentifierade uppgifter som inte är personuppgifter eller om registren innehåller personuppgifter som bara indirekt kan hänföras till en enskild patient torde bero på omständigheterna i det enskilda fallet. Det förekommer också att patienter åsätts ett kodat identitetsnummer. Det är alltså inte alltid nödvändigt att registrera personnummer i kvalitetsregister. Ett ofta åberopat skäl till varför man registrerar personnummer är att långtidsuppföljning eller samkörning med andra register annars omöjliggörs. I det nationella kataraktregistret vari årligen inregistreras omkring 70 000 starroperationer i ett basregister registreras bara kodade uppgifter om patienter. Kodnyckeln stannar hos den inrapporterande ögonkliniken. Beträffande ett mindre antal operationer görs dock mer ingående uppföljningar t.ex. i form av patientenkäter om upplevd nytta. Bara i sådana särskilda uppföljningar behövs direkt utpekande uppgifter om patienter på central nivå. Därutöver registreras oftast utförliga
variabler som gäller den aktuella sjukdomen, särskilda riskfaktorer (t.ex. andra eller tidigare sjukdomar, ärftlighet eller rökning) undersökningsresultat, insatt behandling eller andra åtgärder, eventuella komplikationer och medicinska behandlingsresultat. I flera register följs patienten även efter avslutad behandling med registrering av olika uppföljningsvariabler.
Flertalet uppgifter rör psykisk eller fysisk hälsa och är känsliga enligt 13 § personuppgiftslagen (1998:204). I några register är antalet registrerade uppgiftsslag, variabler, mycket stort. Det finns kvalitetsregister som innehåller över hundra variabler per patient. Andra register med färre variabler torde dock ibland kunna vara av mer integritetskänslig karaktär. Det förekommer t.ex. i några register att uppgifter om patientens sociala förhållanden, sexualliv eller begåvningsnivå registreras.
I huvudsak hämtas de registrerade uppgifterna från patientens journal. Flera register innehåller emellertid uppgifter som inte härrör från patientjournalen. Inte sällan gäller det uppgifter som patienten själv genom att fylla i en blankett eller liknande lämnar till registret, t.ex. om tillfredsställelse med vården i olika avseenden. Det händer också att uppgifter samlas in centralt av registerföraren genom samkörning med andra register, vanligen uppgifter i folkbokföringsdatabasen men också med uppgifter i Socialstyrelsens hälsodataregister inom ramen för särskilda forskningsprojekt.
Registreringsförfarande
Gemensamt för kvalitetsregistren är, som tidigare nämnts, att inrapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida. Det har visserligen börjat förekomma att en uppdragsgivande sjukvårdshuvudman i beställar-/utförarsystem ställer krav på att utföraren deltar i nationella kvalitetsregister. Någon författningsreglerad skyldighet att delta finns emellertid inte.
Som framgått tidigare är det lokala kliniker eller annan vårdenhet som lämnar uppgifter från sin verksamhet till de nationella kvalitetsregistren. Vid de nationella kvalitetsregistren bearbetas och sammanställs uppgifterna till analyserande rapporter som återförs till deltagande enheter. Dessutom medför erhållna statliga kvalitetsregisterbidrag en skyldighet att avge årliga rapporter till Socialstyrelsen.
Många olika varianter förekommer vad gäller organisation och tekniska lösningar i fråga om inrapportering till och återrapportering
från de centrala registrena. Några typiska varianter redovisas i det följande.
a) Traditionellt har nationella kvalitetsregister organiserats så att
lokala kliniker fyller i för ändamålet särskilt upprättade pappersblanketter med uppgifter som skall ingå i registret. Blanketterna sänds sedan till en central registerenhet. Där överförs uppgifterna till kvalitetsregistret genom att någon registrerar dem i en dator. Uppgifterna bearbetas och sammanställs sedan till systematiska resultatanalyser och jämförelsetal som redovisas i form av skriftliga återrapporteringar dels till deltagande kliniker, dels till Socialstyrelsen. I de sammanställningar som återrapporteras förekommer inte personuppgifter. All automatiserad behandling av personuppgifter sker således centralt. Vanligen får inrapporterande lokal klinik rapporter om den egna klinikens resultat medan andra klinikers resultat redovisas som jämförelsetal utan att respektive kliniks identitet avslöjas. I rapporterna till Socialstyrelsen redovisas alla resultat regelmässigt i aggregerad form. Sådana rapporter görs i allmänhet tillgängliga också för allmänheten genom publicering eller på annat sätt. Numera finns återrapporteringar ofta tillgängliga på Internet.
b) En grupp kvalitetsregister inom cancerområdet har organiserat
sin personuppgiftsbehandling på ett speciellt sätt. I dessa register inrapporterar deltagande vårdenheter registeruppgifter till det regionala onkologiska centrum som finns i den sjukvårdsregion vårdenheten tillhör. I landet finns sex regionala onkologiska centrum, ROC, som inrättats för att ansvara för samordningen av programarbetet för cancervården, bl.a. genom att framställa regional cancerstatistik samt genom att ta emot och vidarebefordra till Socialstyrelsen regionens alla canceranmälningar enligt 4 § 1 och 6 § förordningen (2001:709) om cancerregister hos Socialstyrelsen. (Detta sker via de tidigare nämnda regionala cancerregistren, som vi i vårt slutbetänkandet återkommer till.) Därutöver insamlar, bearbetar och sammanställer onkologiska centrum uppgifter till nationella kvalitetsregister som rapporterats från enheter i respektive region. Något av de onkologiska centrumen har dock ansvar för ett visst nationellt kvalitetsregister. Inrapportering sker på pappersblankett eller elektronisk blankett. Efter regional bearbetning och sammanställning rapporteras avidentifierade uppgifter vidare till det onkologiska centrum
som ansvarar för ett ifrågavarande nationellt kvalitetsregister. Där bearbetas och sammanställs uppgifterna i nationella analyser.
c) Beträffande en del register förekommer att en programvara distri-
bueras till lokala kliniker. I programvaran finns vissa variabler som skall registreras av kliniken för senare inrapportering till den nationella registerenheten medan andra variabler ofta kan väljas fritt och fortlöpande registreras av den lokala kliniken. Den lokala kliniken kan själv använda programvaran för lokal uppföljning, statistikframställning och kvalitetssäkring. De ”obligatoriska” variablerna inrapporteras sedan till de nationella kvalitetsregistren, t.ex. genom att en diskettkopia sänds till den nationella registerenheten en gång årligen eller med tätare tidsintervaller. Metoden innebär att det i praktiken bildas många sinsemellan olika register på den lokala nivån.
d) Under senare år har det blivit alltmer vanligt att inrapportering
till nationella kvalitetsregister sker fortlöpande via Internet eller Sjunet. Uppgifterna registreras här direkt i det nationella kvalitetsregistret av den rapporterande kliniken enligt elektroniska formulär. Vem som helst kan emellertid inte lämna uppgifter till registren. Inloggningsförfarande med individuella behörighetsidentiteter och lösenord finns regelmässigt. Ofta har en behörig användare också via Internet direktåtkomst till den egna klinikens aktuella uppgifter och jämförande nationell statistik. Omedelbara automatiserade resultatanalyser kan alltså tas fram på lokal nivå i dessa system. I vissa fall kan deltagande kliniker on-line bearbeta personuppgifter om patienter som man anmält till registret. All kommunikation krypteras.
Några nationella kvalitetsregister är så utformade att uppgifterna i dem kan användas direkt i vården av den aktuella patienten som registreras. Det sker t.ex. genom att systemet efter inrapportering kan framställa diagnos- eller behandlingsprofiler som kan läggas till grund för vårdöverenskommelser med enskilda patienter. I något register kan patienter själv fylla i uppgifter elektroniskt via Internet genom tilldelning av tillfälliga lösenord.
e) För att undvika dubbelarbete för vårdpersonal, och därmed
minska problem med bortfall, utvecklas för närvarande system som innebär att registrering i kvalitetsregister integreras helt med den ordinarie patientjournalföringen. I denna variant av register-
föring överförs uppgifter automatiskt från datajournaler till nationella kvalitetsregister. Av allt att döma kommer denna variant att få ett ökat genomslag inom en inte alltför avlägsen framtid. Även det omvända förekommer; att kvalitetsregisterföring sker varefter uppgifter automatiskt överförs till journalen.
Personuppgiftsflöde
Nationella kvalitetsregister karaktäriseras, som framgått av det föregående, av att personuppgifter samlas in från en rad, nationellt utspridda och separata, vårdenheter. Dessa vårdenheter lämnar alltså ut personuppgifterna för bearbetning och lagring i ett nationellt kvalitetsregister. Ett omfattande personuppgiftsflöde, elektronisk eller annat, förekommer alltså in till registren.
Något i omfattning motsvarande personuppgiftsflöde från registren förekommer inte såvitt framkommit. Visserligen kan lokala vårdenheter få återrapporterat personuppgifter om patienter som de själva rapporterat till registret. Det förekommer också att forskare – efter sedvanlig etikprövning – medges tillgång till kvalitetsregistren och däri ingående personuppgifter eller att uppgifter lämnas till Socialstyrelsen för samkörning med ett hälsodataregister. I övrigt synes dock utflödet av personuppgifter från registren vara mycket begränsat.
16.3. Dagens reglering
Såsom redovisats i bl.a. avsnitt 7.3.2 omfattas personuppgiftsbehandling i kvalitetsregister, dvs. uppgiftssamlingar som inrättats särskilt för att mäta vårdkvalitet, inte av någon särreglering i förhållande till personuppgiftslagen I förarbetena till lagen (1998:488) om vårdregister (vårdregisterlagen) uttalade regeringen att kvalitetsregister förs för mer avgränsade ändamål än patientjournalen. Vidare anfördes att personuppgifter regelmässigt inte kommer att spridas från registren i identifierbart skick. Regeringen fann bl.a. därför inte skäl att föreslå någon särreglering (prop. 1997/98:108 s. 67).
Det sagda innebär alltså att personuppgiftslagen gäller fullt ut för behandling av personuppgifter i såväl nationella kvalitetsregister som för sådana som förs av vårdgivare inom en av landets sex sjukvårdsregioner eller inom ett landstingsområde. På lokal nivå, inom en vårdgivares verksamhet, kan kvalitetssäkringsarbete ofta ske genom bearbetning av uppgifter i ett vårdregister. Då är vårdregisterlagen
tillämplig. Handlar det däremot om att vårdgivaren inrättar ett särskilt register för kvalitetsarbete är däremot vårdregisterlagen inte tillämplig utan bara personuppgiftslagen. Någon klar gräns för när vårdregisterlagen är tillämplig eller inte är emellertid i praktiken svår att dra.
Många gånger torde uppgifterna som lämnas ut till ett nationellt kvalitetsregister ingå i automatiserat förda lokala vårdregister. Av 9 § vårdregisterlagen följer att personuppgifter i vårdregister får lämnas ut på medium för automatiserad behandling bl.a. för ändamål som anges i 4 § 2 och 3 samma lag, dvs. för sådan uppföljning, utvärdering och kvalitetssäkring som bedrivs i nationella kvalitetsregister samt för forskningsändamål. Även bestämmelser i sekretesslagen (1980:100) eller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område aktualiseras givetvis då personuppgifter inrapporteras till ett nationellt kvalitetsregister. Dessa frågeställningar behandlas i avsnitt 16.5.1.
Vi har i bl.a. avsnitt 8 redogjort för vissa av de allmänna bestämmelserna i personuppgiftslagen. De upprepas därför inte här.
En central frågeställning är emellertid vad som följer av personuppgiftslagen när det gäller kvalitetsregisterföring utan den enskildes samtycke till personuppgiftsbehandlingen. Från personuppgiftslagens utgångspunkt om samtycke som laglig grund för behandling av personuppgifter finns omfattande undantag för behandling som är nödvändig för ändamål eller i situationer som uttömmande anges i 10 § a–f personuppgiftslagen. Den bestämmelse som ger stöd för behandling av personuppgifter utan samtycke för kvalitetsuppföljning genom nationella kvalitetsregister finns i 10 § d. Enligt bestämmelsen får personuppgifter behandlas utan samtycke, om behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse skall kunna utföras. Det övergripande syftet med de nationella kvalitetsregistren är att kvalitetssäkra olika områden inom den svenska hälso- och sjukvården. Det allmänna intresset av sådan verksamhet kan knappast ifrågasättas.
Eftersom en stor del av de behandlade personuppgifterna rör hälsa, måste dessutom något annat undantag än det i 15 § personuppgiftslagen för uttryckligt samtycke vara tillämpligt för att personuppgiftsbehandlingen i nationella kvalitetsregister inte skall strida mot personuppgiftslagen.
Det undantag som i första hand ger rättsligt stöd för behandlingen är bestämmelsen i 18 § första stycket personuppgiftslagen enligt vilken känsliga personuppgifter får behandlas utan den registrerades samtycke för hälso- och sjukvårdsändamål, om behandlingen
är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Enligt andra stycket samma paragraf får den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga uppgifter från verksamhet inom hälso- och sjukvården.
Det råder ingen tvekan om att nationella kvalitetsregister drivs inom hälso- och sjukvården för att i första hand höja eller i vart fall säkra kvaliteten av sådan vård eller behandling som avses i 18 § personuppgiftslagen. Enligt utredningens bedömning är behandling av känsliga personuppgifter nödvändig för detta ändamål. Behandlingen av känsliga personuppgifter i nationella kvalitetsregister är därmed tillåten enligt personuppgiftslagen även utan samtycke från den registrerade patienten. Datainspektionen har i en rapport om nationella kvalitetsregister (Datainspektionens rapport 2002:1) gjort samma bedömning.
När det gäller andra särskilda personuppgiftskategorier torde behandling av personnummer i vissa fall vara klart motiverad om syftet är att t.ex. att göra långtidsuppföljningar etc. (se 22 § personuppgiftslagen). Uppgifter om lagöverträdelser m.m. kan lagligen behandlas under förutsättning att ett landsting eller någon annan myndighet är personuppgiftsansvarig för behandlingen och, givetvis, uppgifterna behövs för just den kvalitetssäkring som bedrivs inom kvalitetsregisterföringen i fråga.
16.4. Våra överväganden
16.4.1. Behovet av särbestämmelser
Vårt förslag: I patientdatalagen tas in vissa särbestämmelser som bara gäller för nationella och regionala kvalitetsregister. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för systematisk och fortlöpande utveckling och säkring av vårdens kvalitet. Med ett nationellt eller ett regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå.
Våra förslag i det föregående om patientdatalagens tillämpningsområde och ändamål (avsnitt 7.3.2 och 8.2) medför en särreglering i förhållande till personuppgiftslagen även i sådana kvalitetsregister som i dag faller vid sidan av vårdregisterlagens tillämpningsområde. Med begreppet kvalitetsregister avser vi en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för kvalitetssäkringsändamål och i vilken personuppgifterna är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Med att en uppgiftssamling är strukturerad avses att uppgifterna är sorterade enligt något slags system (jfr Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik, SOU 1997:39 s. 339).
Inom hälso- och sjukvården förs kvalitetsregister på flera olika nivåer. De kan föras lokalt inom en offentlig eller privat vårdgivares verksamhet. Storleken av lokala register varierar givetvis. Det finns privata vårdgivare som bedriver verksamhet i mycket liten skala, t.ex. privatpraktiserande läkare eller tandläkare. Inom den allmänna hälso- och sjukvården kan all hälso- och sjukvård vara samlad under en enda nämnd i ett landsting eller en kommun. Enligt vår mening ger patientdatalagens allmänna bestämmelser en tillfredsställande reglering av kvalitetsregister som förs inom en vårdgivares verksamhet eller annars lokalt inom ett landstingsområde (lokala kvalitetsregister).
De kvalitetsregister inom hälso- och sjukvården som diskuteras inom vården och i den allmänna debatten avser i allmänhet register som förs i ett vidare perspektiv. I dessa register samlas personuppgifter och annan information som rapporteras till registret från flera vårdgivare utspridda inom ett landsting, inom en eller flera av landets sex sjukvårdsregioner eller i hela landet. I fortsättningen kallas dessa för nationella eller regionala kvalitetsregister. Signifikant för dessa register är att de sammanställda uppgifterna kan användas för att på olika nivåer generera kunskap om hälso- och sjukvårdens kvalitet just genom att jämförelser mellan olika vårdgivare eller geografiska områden kan göras. Denna möjlighet har visat sig ha stor betydelse för kvalitetsförbättringen i olika avseenden. Liksom när det gäller lokala kvalitetsregister varierar nationella och regionala kvalitetsregister i storlek och omfattning, något som ofta sammanhänger med huruvida kvalitetsregistret i fråga rör en vanlig eller en mer sällsynt sjukdom.
Datoriserade register vari lagras känsliga personuppgifter som härrör från ett flertal vårdgivares patientverksamhet får, enligt vår mening, i typfallet anses som mer integritetskänsliga än lokala motsvarigheter. Det finns därför anledning att kringgärda den aktuella
personuppgiftshanteringen med vissa specialbestämmelser rörande några för integritetsskyddet viktiga förhållanden.
En tydligare reglering genom specialbestämmelser kan också ha den goda effekten att allmänhetens förtroende för registerverksamheten bevaras på en hög nivå. Av samma skäl kan en reglering i bästa fall motverka bortfall genom att enskilda patienter blir mindre benägna att utnyttja den rätt att motsätta sig registrering i ett nationellt eller regionalt kvalitetsregister som vi föreslår nedan, se avsnitt 16.4.5.
Mot bakgrund av det sagda föreslås i det följande några bestämmelser som enbart gäller för nationella och regionala kvalitetsregister. Bestämmelserna omfattar båda typerna av register, eftersom vi inte har funnit någon avgörande skillnad i integritetskänslighet mellan sådana register som förs i samarbete mellan flera vårdgivare inom ett landsting, en sjukvårdsregion eller sådana som omfattar flera eller alla regioner. Inte heller är den omständigheten att ett kvalitetsregister får statligt bidrag till stöd för driften av någon nämnvärd betydelse i integritetshänseende. Bestämmelserna för nationella och regionala kvalitetsregister är alltså oberoende av vilka kvalitetsregister som i bidragshänseende är etablerade som nationella kvalitetsregister. För att särskilja nationella och regionala kvalitetsregister från lokala register bör av patientdatalagen framgå att särbestämmelserna bara gäller för ett kvalitetsregister till vilket personuppgifter samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå.
I lagförslaget används således registerbegreppet för att skilja ut kvalitetssäkringsarbete i särskilt inrättade uppgiftssamlingar från annan kvalitetssäkring som också avses omfattas av lagens tillämpningsområde, t.ex. sådan kvalitetssäkring som sker hos en vårdgivare genom sammanställning eller annan bearbetning av personuppgifter som finns i ett elektroniskt journalsystem.
När det gäller benämningen kvalitetsregister har vi övervägt om det skulle vara mera lämpligt att använda ett annat begrepp än register för att beskriva de särskilda datoriserade uppgiftssamlingar som här avses.
Personuppgiftslagen innehåller inga särbestämmelser för datoriserade register och begreppet register har blivit klart mindre juridiskt relevant när det gäller elektronisk personuppgiftsbehandling. Redan under datalagens tid kritiserades registerbegreppet för att vara otidsenligt, bl.a. för att den tekniska utvecklingen inom IT-området gjort det allt svårare att skilja ett register från ett annat och för att
det numera går att med datorhjälp söka och sammanställa uppgifter som över huvud taget inte har organiserats eller systematiserats i förväg.
Under 2000-talet har begreppet databas introducerats som ett juridiskt begrepp i några registerförfattningar, se t.ex. 2 kap. 1 § lagen (2001:181) om behandling av personuppgifter i skatteförvaltningens verksamhet och 7 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. I lagarna sägs att det i den verksamhet, vari personuppgiftsbehandlingen regleras genom respektive lag, får finnas en databas. Databasen utgör därvid en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för ändamål som anges i lagarna. I Danmark kallas kvalitetsregister för kliniska kvalitetsdatabaser. Enligt danska Sundhedsstyrelsens definition är en klinisk kvalitetsdatabas ett register, som innehåller utvalda kvantifierbara indikatorer vilka kan belysa delar av eller den samlade kvaliteten av sjukvårdens insatser och resultat för en avgränsad patientgrupp med utgångspunkt i det enskilda vårdförloppet (Sundhedsstyrelsen 2001, Kliniska kvalitetsdatabaser Status 2000, del 1, Bilaga 1, i egen översättning).
Genom att välja begreppet databas i stället för register när det gäller de uppgiftssamlingar som här avses, skulle patientdatalagen visserligen bättre anpassas till de nyare författningar där det begreppet används för att beskriva särskilda datoriserade uppgiftssamlingar. När det gäller t.ex. webbaserade nationella kvalitetsregister är vidare databas en mer tekniskt adekvat beskrivning. De uppgiftssamlingar som här avses utgör emellertid register i begreppets traditionella bemärkelse. De karaktäriseras bl.a. av att de dels används för särskilda och förhållandevis begränsade ändamål, dels är väl avgränsade från andra uppgiftssamlingar. De samlade uppgifterna är på förhand bestämda variabler som systematiserats och organiserats för att senare kunna sammanställas utifrån särskilda kriterier. De databaser som regleras i särskilda registerförfattningar utmärks av att de, utöver mer registerartade uppgifter, innehåller osystematiserade uppgifter, löpande texter, elektroniska dokument av olika slag m.m. som finns inom en myndighets samlade ärendehantering och som är gemensamt tillgängliga för personalen. Dessa uppgiftssamlingar är alltså inte helt jämförbara med de uppgiftssamlingar som inrättats särskilt för kvalitetssäkring av hälso- och sjukvård. Det juridiska begreppet databas motsvarar inte heller det tekniska begreppet databas.
I förarbetena till personuppgiftslagen uttalade regeringen om registerbegreppet att inget hindrar att ett datoriserat register också kallas för det (prop. 1997/98.44 s.39). På grund av det anförda sammantaget med att kvalitetsregister är en sedan flera år inarbetad benämning på dessa uppgiftssamlingar inom hälso- och sjukvården, har vi ansett att övervägande skäl talar för att använda registerbegreppet för att beskriva uppgiftssamlingarna.
Som påpekats tidigare pågår utvecklingsarbete med att integrera elektronisk journalföring med kvalitetsregisterrapportering. I sådana integrerade system är patientdatalagens bestämmelser om journalföring och annan vårddokumentation tillämpliga på den personuppgiftsbehandling som sker på den lokala kliniken eller annan vårdinrättning för vårddokumentationsändamål medan särbestämmelserna för nationella och regionala kvalitetsregister är tillämpliga i fråga om den del av hanteringen som utgör eller syftar till central hantering, bearbetning, lagring m.m. i kvalitetsregistret.
16.4.2. Kvalitetsregisters ändamål
Vårt förslag: I patientdatalagen regleras uttömmande för vilka ändamål som personuppgifter i ett nationellt eller regionalt kvalitetsregister får behandlas.
Personuppgifter får samlas in och behandlas för det övergripande och primära syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för ändamålen framställning av statistik eller forskning inom hälso- och sjukvårdsområdet. Personuppgiftsbehandling får vidare ske genom utlämnande till mottagare som skall använda uppgifterna för något av de nämnda ändamålen. Därutöver får utlämnande ske enligt 2 kap. tryckfrihetsförordningen samt enligt sådan särskilt föreskriven uppgiftsskyldighet som föreskrivs i lag eller förordning och som avses i 14 kap. 1 § sekretesslagen eller motsvarande bestämmelser i 2 kap. 8 och 9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område.
Primärt ändamål
För att upprätthålla allmänhetens förtroende för nationella och regionala kvalitetsregister är det av avgörande betydelse att det av lagen klart framgår för vilka ändamål personuppgifterna i registren får användas. Redan tidigare, se bl.a. föregående avsnitt och avsnitt 15.4.3, har framgått att det övergripande ändamålet för kvalitetsregistren skall vara kvalitetssäkring, dvs. systematisk och fortlöpande utveckling och säkring av vårdens kvalitet (se 31 § hälso- och sjukvårdslagen och 16 § tandvårdslagen [1985:125]). Såsom angetts i avsnitt 15.4.3 skall det primära syftet vara att följa upp medicinsk och annan kvalitet i själva vårdinsatserna och alltså inte för att kontrollera sjukvårdens kostnadseffektivitet och produktivitet allmänt sett. Med vård avses individinriktad patientverksamhet, dvs. vård, undersökning och behandling inom hälso- och sjukvården. Som kommer att framgå i det följande föreslår vi att detta syfte också skall vara bestämmande för vilka personuppgifter som över huvud taget får behandlas i nationella och regionala kvalitetsregister.
Självklart måste detta primära ändamål i sin tur brytas ner i mer preciserade ändamål som är anpassade för varje särskilt register och det medicinska specialområde eller motsvarande som avses täckas med registret. I avsnitt 16.2 har nämnts några exempel på preciseringar som är inriktade på vårdkvalitet, såsom att utvärdera skillnader i diagnostik eller behandlingsmetoder, att identifiera geografiska skillnader i tillgång på vård, jämföra vårdresultat med patientens upplevda tillfredsställelse med vården m.m.
Sekundära ändamål
Enligt vår mening är det emellertid befogat att för kvalitetssäkring redan insamlade personuppgifter – på motsvarande sätt som i dag sker – får behandlas också för vissa andra, sekundära ändamål, nämligen sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet samt för forskning inom hälso- och sjukvårdsområdet. Slutligen bör anges som ett ändamål att uppgifterna i vissa fall får lämnas ut till tredje man, i huvudsak mottagare som skall använda uppgifterna för något av de redan nämnda ändamålen. Av hänsyn till enskildas personliga integritet bör inga andra ändamål vara tillåtna. Vårt förslag om ändamål för nationella och regionala kvalitetsregister skall alltså vara uttömmande. Det innebär att det
inte är tillåtet att behandla personuppgifterna också för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.
När det gäller det särskilda ändamålet statistik om hälso- och sjukvård kan anmärkas att inrapporterade data sammanställs statistiskt i de återrapporteringar m.m. som framställs i kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet tillåter därutöver att personuppgifter behandlas särskilt för att framställa statistik som skall användas för andra ändamål än att förbättra vårdens kvalitet. Det kan röra statistik som framställs för att ge särskilt analys- och beslutsunderlag åt politiker och administratörer vid beräkning av kostnadseffektivitet, produktivitet, administrativ planering och liknande. Ett annat exempel är statistik för att informera allmänheten om verksamheten och dess resultat. I praktiken torde det ofta vara flytande gränser mellan de ändamål för vilka statistik framställs.
Det särskilda efterkommande ändamålet forskning medger att personuppgifter, som samlats in för kvalitetssäkringsändamål, också skall få används i forskning inom hälso- och sjukvårdsområdet. Med forskning avses även epidemiologiska studier. Det skall dock observeras att ändamålet inte utgör något undantag från lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) och dess krav på etikprövning då forskning innefattar behandling av känsliga personuppgifter m.m. Har den enskilde inte uttryckligen samtyckt till personuppgiftsbehandlingen för ett specifikt forskningsprojekt, krävs godkännande av etikprövningsnämnd vid all forskning avseende personuppgifter i kvalitetsregister. Det sagda gäller oberoende av om forskningen bedrivs av den för registret personuppgiftsansvariga myndigheten eller av annan. Angående gränsdragningen forskning och kvalitetssäkring, se prop. 2002/03:50 s. 91. I sammanhanget kan nämnas att Etikprövningsutredningen föreslagit att alla forskningsprojekt avseende känsliga personuppgifter skall etikprövas alldeles oavsett om den enskilde samtyckt till personuppgiftsbehandlingen i forskningsprojektet eller inte (SOU 2005:78). Förslaget bereds för närvarande i Regeringskansliet.
Slutligen föreslår vi som ett särskilt ändamål en uttrycklig bestämmelse som med ett undantag uttömmande reglerar när personuppgifter får behandlas genom att lämnas ut från ett nationellt eller
regionalt kvalitetsregister till en extern mottagare för annat än de redan nämnda syftena.
Undantaget gäller utlämnande av personuppgifter enligt 2 kap. tryckfrihetsförordningen som givetvis också kan ske utan att det särskilt behöver föreskrivas. Det följer av principen om grundlags företräde framför vanlig lag och anges dessutom uttryckligen i 8 § personuppgiftslagen, som gäller också vid behandling av personuppgifter enligt den föreslagna lagen. Det är en annan sak att sådant uppgiftsutlämnande på grund av sekretess normalt inte kan ske till annan än den berörde registrerade.
Av hänsyn till enskildas integritet bör, enligt vår mening, personuppgifter få lämnas ut till tredje man bara om mottagaren skall använda uppgifterna för att själv bedriva kvalitetssäkring av hälso- och sjukvård, för forskning inom hälso- och sjukvårdsområdet eller för att framställa statistik. Vidare bör personuppgifter kunna lämnas ut om det följer av en särskilt föreskriven uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen eller 2 kap. 8 och 9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område. Ett exempel är att uppgifter lämnas ut enligt 43 § personuppgiftslagen i samband med Datainspektionens tillsyn över personuppgiftsbehandlingen eller att uppgifter levereras till hälsodataregister via ett kvalitetsregister.
Utrymmet för att lämna ut personuppgifter från kvalitetsregistren är således väsentligen mera snävt än vad vi föreslagit i stort när det gäller personuppgifter inom hälso- och sjukvården där det räcker att utlämnandet sker i överensstämmelse med lag eller förordning, se avsnitt 8.2. Vi menar emellertid att övervägande skäl talar mot att exempelvis tillåta utlämnande med stöd av 15 kap. 5 § sekretesslagen, som föreskriver att en myndighet på begäran av en annan myndighet skall lämna ut uppgift som den förfogar över i den mån inte hinder möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Det är nämligen svårt att överblicka vilket uppgiftsutlämnande som en tillämpning av 15 kap. 5 § sekretesslagen kan leda till. Visserligen gäller sekretess för uppgifterna i ett kvalitetsregister, men man kan inte bortse från att en sedvanlig skadebedömning enligt sekretesslagen kan leda till att uppgifterna anses kunna lämnas ut till t.ex. en annan myndighet som är verksam inom hälso- och sjukvården eller socialtjänsten. Ett annat exempel är att uppgifter lämnas ut till en enskild med förbehåll enligt 14 kap. 9 § sekretesslagen utan att mottagaren har ett forsknings- eller statistikändamål avseende uppgifterna. En sådan osäkerhet kring vilket uppgiftsutlämnande från ett nationellt eller regionalt kvalitetsregister
som är tillåtet, kan enligt vår mening inte accepteras när det gäller så integritetskänsliga uppgifter som det här är fråga om. Vi förordar alltså större precision och tydlighet när det gäller dessa register.
Den av oss förordade modellen att så specifikt beskriva tillåtna utlämnanden innebär ett starkt integritetsskydd för den enskilde. Av patientdatalagen framgår alltså tydligt när uppgifter, som är insamlade för kvalitetssäkring, kan lämnas ut till tredje man. Samtidigt kan man naturligtvis inte helt bortse från att det framgent kan komma att visa sig att andra uppgiftsutlämnanden än dem som vi har reglerat kanske bör få förekomma. I så fall får man då överväga om någon ändring bör göras i de sekundära ändamålen. Det kan dock här erinras om att det kommer att vara möjligt att behandla personuppgifterna för andra ändamål än de här nämnda, om ett särskilt och uttryckligt samtycke till det föreligger från de enskilda registrerade. Det framgår av vårt förslag om verkan av den enskildes uttryckliga samtycke till personuppgiftsbehandling utöver den som tillåts i patientdatalagen, se avsnitt 8.5.
16.4.3. Personuppgiftsansvar
Vårt förslag: För sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå skall bara en eller flera myndigheter inom landsting eller kommuner få vara personuppgiftsansvariga. Regeringen får i förordning föreskriva att även enskild får vara personuppgiftsansvarig.
För den personuppgiftsbehandling som i kvalitetsregisterrapporteringen deltagande vårdgivare utför, gäller patientdatalagens huvudregel om att varje myndighet inom hälso- och sjukvården eller privata vårdgivare är personuppgiftsansvarig för den personuppgiftsbehandling som den utför.
Vem som är personuppgiftsansvarig för behandling av personuppgifter i de olika nationella kvalitetsregistren är en komplex fråga. En genomgång av de nationella kvalitetsregister som finns i dag ger ingen entydig bild av hur det förhåller sig med personuppgiftsansvaret. Endast i fråga om en del register finns det nämligen uttalad information till registrerade eller andra om vem eller vilka som är personuppgiftsansvariga för behandlingen av personuppgifter i registret. I Datainspektionens tidigare nämnda rapport om nationella
kvalitetsregister konstaterades också att det råder en stor osäkerhet hos registerförare om vad som gäller härvidlag.
Vanligen anges en sjukvårdshuvudman, ett landsting, som huvudman för ett register och en viss person som registerhållare eller registeransvarig. Myndigheten, och inte enskilda kliniker eller läkare, torde i dessa fall vara att anse som personuppgiftsansvarig för registret i fråga. Ibland förekommer emellertid uppgift om att det är en specialistförening, dvs. en ideell förening, som äger, driver och ansvarar för ett register. Även en sådan förening kan vara personuppgiftsansvarig för behandlingen av personuppgifter i ett nationellt kvalitetsregister. Inte sällan är det oklart om ett kvalitetsregister förs i en specialistförenings eller i en eller flera sjukvårdshuvudmäns regi. Det kan här nämnas att personuppgiftslagen i och för sig inte hindrar att ansvaret delas av flera. I praktiken torde det emellertid vara ovanligt att myndigheter delar personuppgiftsansvar med enskilda.
I avsnitt 8.3 har vi föreslagit en grundläggande bestämmelse om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen. Enligt bestämmelsen är varje myndighet inom hälso- och sjukvården eller privata vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som den utför. När det gäller innebörden av personuppgiftsansvaret hänvisas till avsnitt 8.3.
Liksom vid sammanhållen journalföring, se avsnitt 11.6, uppkommer emellertid frågor om det finns anledning att därutöver föreslå någon särreglering av personuppgiftsansvaret för nationella och regionala kvalitetsregister med tanke på det samarbete mellan flera aktörer som kvalitetsregisterföringen innebär. En särskild fråga här är också i vad mån specialistföreningar, dvs. ideella föreningar, bör kunna ha ett personuppgiftsansvar för ett kvalitetsregister, ensamt eller delat med inrapporterande myndigheter och privata vårdgivare. I dessa frågor gör vi följande bedömning.
Givetvis underlättas den enskildes möjligheter att ta till vara sina rättigheter, om det direkt av lagen framgår vem han eller hon skall vända sig till med klagomål på personuppgiftsbehandlingen i ett kvalitetsregister. Ansvaret för den stora mängden nationella eller regionala kvalitetsregister är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom organiserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller skall ingå i registren. En detaljreglering av personuppgiftsansvaret ter sig mot den bakgrunden knappast möjlig. En reglering
skulle dessutom riskera att låsa fast registerföringen i oflexibla organisationslösningar, som kanske inte passar för alla typer av kvalitetsregister eller som inte visar sig vara ändamålsenliga över tiden. Något direkt utpekande av vem som skall vara personuppgiftsansvarig för nationella eller regionala kvalitetsregister föreslås alltså inte.
Vi föreslår dock en bestämmelse som anger att endast en eller flera myndigheter inom landsting och kommuner, skall få driva ett nationellt eller regionalt kvalitetsregister, dvs. administrera och hantera personuppgifterna på den centrala registernivån. Från denna huvudregel föreslås dock att regeringen skall få medge undantag i förordning. Huvudregeln är motiverad av att det framstår som mindre lämpligt att stora samlingar av typiskt sett integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs och anges. Det bör dock lämpligen ske i författning på lägre nivå. Inom många verksamheter torde det inte finnas några hinder mot att privata vårdgivare ansvarar för större kvalitetsregister, t.ex. inom tandvården. Enligt vår uppfattning bör det dock inte förekomma att specialistföreningar för läkare formellt ansvarar för personuppgiftsbehandlingen. Det är en helt annan sak att den faktiska administrationen och praktiska styrningen kan skötas av en specialistförening inom ramen för ett landstings verksamhet.
För den personuppgiftsbehandling som privata eller offentliga vårdgivare utför när de samlar in och rapporterar in uppgifter till registret eller annars behandlar registrerade personuppgifter (exempelvis efter ”hemtagning” av uppgifter som man har direktåtkomst till), föreslås emellertid respektive vårdgivare själv vara personuppgiftsansvarig enligt patientdatalagens allmänna huvudregel om personuppgiftsansvar. Det innebär t.ex. att när en privatpraktiserande vårdgivare fyller i elektroniska blanketter för rapportering till ett kvalitetsregister, som en myndighet inom ett landsting är personuppgiftsansvarig för, är det vårdgivaren och inte landstinget som bär personuppgiftsansvaret för att personuppgifterna hanteras korrekt samt i enlighet med patientdatalagens och sekretesslagens krav. Om vårdgivaren t.ex. i strid mot de sistnämnda lagarna lämnar ut kvalitetsregisteruppgifterna till obehörig tredje man, sker det alltså under vårdgivarens ansvar. För den fortsatta centrala hanteringen av inrapporterade personuppgifter föreslås emellertid, som nyss sagts, personuppgiftsansvaret vara samlat hos en eller flera myndigheter. Till den centrala hanteringen hör t.ex. ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.
Det föreslagna uppdelade ansvaret mellan den myndighet som centralt administrerar ett kvalitetsregister och inrapporterande vårdenheter kan hävdas vara mindre integritetsvänlig jämfört med en ordning som innebär att den centrala administratören ensam har ansvaret för all personuppgiftsbehandling som sker inom ramen för ett register. Den enskilde kan ju behöva vända sig både till inrapporterande vårdgivare och till den centralt personuppgiftsansvariga vårdgivaren för att få rätt, om att exempelvis en uppgift skall rättas.
Enligt vår mening är det dock rimligt att vårdgivarna – som är skyldiga att kvalitetssäkra sin verksamhet – enligt patientdatalagens huvudregel själva bär det formella ansvaret för den personuppgiftshantering som de själva utför i samband med registerhanteringen. Den hanteringen har vidare en central administratör normalt inga formella eller praktiska möjligheter att närmare kontrollera utöver de befogenheter som följer av personuppgiftsansvaret. Ett landsting, som åtagit sig ett personuppgiftsansvar för ett kvalitetsregister, är ju en vårdgivare bland alla inrapporterande vårdgivare och har ingen central organisatorisk eller bestämmande funktion visavi andra landsting eller övriga vårdgivare. De nationella och regionala kvalitetsregistrens betydelse för det lokala kvalitetsförbättringsarbetet innebär vidare att vårdgivarna har ett starkt egenintresse av att dessa register förs. Det är bl.a. därför inte heller lämpligt att lösa situationen med att personuppgiftsansvarig offentlig vårdgivare träffar individuella personuppgiftsbiträdesavtal med inrapporterande vårdgivare. Vi befarar dessutom att de enskilda landstingen kan vara tveksamma till att åta sig ett personuppgiftsansvar som omfattar alla deltagande vårdgivares personuppgiftsbehandling i samband med ett nationellt eller regionalt kvalitetsregister. Den aspekten har betydelse för kvalitetsregistrens framtid, eftersom förandet av kvalitetsregister inte är en obligatorisk verksamhet för landstingen.
Mot bakgrund av det anförda anser vi att övervägande skäl talar för det föreslagna uppdelade personuppgiftsansvaret.’
16.4.4. Kvalitetsregisters innehåll
Vårt förslag: I patientdatalagen förtydligas att det bara är sådana uppgifter som behövs för det primära ändamålet kvalitetssäkring av vård som får tas in i ett nationellt eller regionalt kvalitetsregister.
Vidare anges att den registrerades personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den registrerade.
Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.
Enligt våra direktiv skall vi föreslå vilka uppgifter som skall få tas in i ett nationellt kvalitetsregister. Att närmare precisera i detalj vilka personuppgifter som får behandlas i alla de sinsemellan olika nationella kvalitetsregistren ter sig emellertid som en omöjlighet, i vart fall på lagstiftningsnivå. Enligt vår uppfattning bör emellertid några begränsningar införas av hänsyn till enskildas personliga integritet.
Den första begränsningen innebär att det bara är personuppgifter som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårdsverksamhet som får samlas in och fortsättningsvis behandlas. Det kan påpekas att tolkningen av vad som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårdsverksamhet kan ske inom ganska vida ramar. Exempelvis ser vi inget hinder mot att uppgifter om vårdens kostnadseffektivitet i form av Kostnad Per Patient (KPP), nyckeltal och liknande behandlas parallellt med uppgifter om behandlingsresultat m.m. Personuppgifter som inte direkt behövs för kvalitetssäkringsändamål utan enbart skulle vara bra att ha i framtida forskningsprojekt får dock inte samlas in. För förtroendet för verksamheten är det väsentligt att det inte uppstår misstankar hos allmänheten om att kvalitetsregisterföringen i själva verket handlar om att bygga upp forskningsdatabaser inom hälso- och sjukvården.
Vidare föreslår vi att nationella och regionala kvalitetsregister i första hand skall bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter (t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter) i stället för
direkt utpekande personuppgifter. Som exempel på skäl som kan göra behandling av personnummer tillåten kan nämnas att registeruppgifterna skall samköras med andra register för kvalitetssäkringsändamål. Ett annat skäl kan vara att patienter avses följas upp över lång tid och att identifiering av patienter som påbörjar förnyad behandling, omoperation eller liknande är väsentlig för uppföljningen.
Uppgifter om hälsa (fysisk eller psykisk) är känsliga personuppgifter enligt 13 § personuppgiftslagen och måste naturligtvis få behandlas i nationella och regionala kvalitetsregister. Däremot finns det från integritetssynpunkt skäl att inskränka utrymmet för behandling av andra känsliga personuppgifter som avses i 13 § personuppgiftslagen liksom uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag. Vi föreslår att sådana uppgifter skall få behandlas i nationella eller regionala kvalitetsregister bara om regeringen – eller efter vidaredelegation Datainspektionen efter samråd med Socialstyrelsen – i enskilda fall tillåter det. Normalt torde det i en del särskilda register vara klart motiverat att behandla uppgifter om t.ex. ras, etniskt ursprung, sexualliv eller ett tvångsomhändertagande. De närmare förutsättningarna bör dock inte anges i författning utan i beslut i enskilda fall rörande ett visst kvalitetsregister. Här kan erinras om att vårt förslag i avsnitt 8.5 om verkan av den enskilde registrerades uttryckliga samtycke, medför att dessa slags uppgifter med ett sådant samtycke får registreras i ett kvalitetsregister redan utan särskilt stöd i ett särskilt beslut. I dessa fall kan inte nog understrykas att det i information till den enskilde klart bör framgå att ett uttryckligt samtycke omfattar just dessa slags personuppgiftskategorier.
Enligt vår mening är det förenligt med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) att i nationell lagstiftning uppställa en begränsning för behandling i särskilda register av vissa personuppgiftskategorier på det sätt som här föreslagits.
16.4.5. Den enskildes inställning
Vårt förslag: I patientdatalagen införs en bestämmelse som – till skillnad från vad som i dag gäller enligt personuppgiftslagen – ger patienten en rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. Denna rätt gäller även efter en registrering. I sådant fall skall uppgifter om patienten strykas. dvs. utplånas, ur registret.
Enligt våra direktiv bör utredningen ha som utgångspunkt att den enskilde skall lämna ett uttryckligt och informerat samtycke till behandling av personuppgifter i nationella kvalitetsregister. Vi skall dock analysera konsekvenserna av att registreringen inte alltid blir heltäckande, om samtycke krävs. Inledningsvis kan i denna fråga sägas att behandling av personuppgifter i kvalitetsregister och framför allt inrapportering från vårdgivare till ett nationellt eller ett regionalt kvalitetsregister omfattar inte bara rättsliga frågeställningar om regleringen av personuppgiftsbehandlingen. Även sekretessfrågor aktualiseras. Vi kommer dock att behandla sekretessfrågorna särskilt i avsnitt 16.5. Redan här kan emellertid sägas att regleringarna inte är helt samordnade, inte minst i fråga om betydelsen av den registrerades inställning. I detta avsnitt behandlas dock bara regleringen av personuppgiftsbehandlingen.
Av det tidigare sagda, om att personuppgiftsbehandlingen i nationella kvalitetsregister nu är tillåten enligt personuppgiftslagen även utan den registrerades samtycke, följer att en uttrycklig särbestämmelse är nödvändig, om vi föreslår att ett samtyckeskrav skall införas.
En särskild fråga som måste övervägas i samband härmed är frågan om hur ett samtyckeskrav förhåller sig till dataskyddsdirektivet.
Dataskyddsdirektivet är till sin karaktär inget minimidirektiv. Det innebär bl.a. att medlemsstaterna inte får föreskriva ett mer långtgående skydd för den personliga integriteten vid behandling av personuppgifter än vad som följer av direktivet (jämför artikel 1 punkt 2, se även SOU 1997:39 s. 110). Enligt direktivet skall medlemsstaterna föreskriva att personuppgifter får behandlas utan samtycke, om det är nödvändigt för att utföra en arbetsuppgift som är av allmänt intresse (artikel 7 e). Likaså skall medlemsstaterna föreskriva att känsliga personuppgifter får behandlas utan samtycke, om det är nödvändigt med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (artikel 8 punkt 3). Någon uttrycklig bestämmelse som
anger att medlemsstaterna får göra inskränkningar i fråga om just dessa behandlingar av hänsyn till enskildas integritet finns inte (jfr artikel 13). Det kan alltså inte anses självklart att införandet av ett generellt samtyckeskrav är förenligt med vad direktivet förutsätter i fråga om det fria flödet av personuppgifter mellan medlemsstaterna. Enligt vår bedömning bör dataskyddsdirektivet dock inte tolkas så snävt. Vi menar alltså att direktivet inte i och för sig utgör hinder mot att föreskriva den registrerades samtycke som förutsättning för behandling av personuppgifter i nationella eller regionala kvalitetsregister.
Vi har genomfört en särskild undersökning av hur frågan om samtycke och information hanteras vid förandet av de nuvarande nationella kvalitetsregistren. Undersökningen har skett genom att en skriftlig förfrågan skickats ut till ett knappt sextiotal registerförare. Skriftligt svar har inkommit från knappt två tredjedelar av de tillfrågade. I fråga om de flesta nationella kvalitetsregister synes som förutsättning tillämpas att patienterna accepterar den ifrågavarande personuppgiftsbehandlingen. Det förekommer emellertid också att inrapportering till och behandling av personuppgifter i registren sker utan att patientens inställning därtill klargörs. Svaren ger sammantaget en splittrad bild av huruvida samtycke till registrering i nationella kvalitetsregister inhämtas eller inte. Patienternas frivilliga deltagande i de nationella kvalitetsregistren anförs ofta, men långt ifrån alltid, som en förutsättning för registerföringen. I flera av registren, som anger frivillig medverkan som en förutsättning för registerföringen, inhämtas dock inte något sådant samtycke som uppfyller personuppgiftslagens krav på ett uttryckligt eller annan form av samtycke. I stället förekommer ofta s.k. tyst samtycke som i princip innebär att patienten, efter att ha fått information om registret och att deltagandet däri är frivilligt, underlåter att lämna besked om att han eller hon motsätter sig personuppgiftsbehandlingen i registret. Rent generellt synes bortfall i registreringen på grund av patienternas val att inte ingå vara försumbart eller i flera fall obefintligt, i synnerhet bland de register som åberopar att registreringen är frivillig för patienten men där särskilt samtycke inte inhämtas. Detta stämmer väl överens med vad vår enkätundersökning bland allmänheten visat om att det finns en klar majoritet som är positivt inställd till att vara med och bidra med ”sina” personuppgifter till kvalitetsförbättrande uppföljning av vården.
Hittills har vår kartläggning dock inte visat exempel på att registrering sker i strid mot patientens uttryckliga vilja. Det hade för
övrigt knappast varit förenligt med annan reglering, t.ex. i sekretesslagen. I de kvalitetsregister vari t.ex. patienttillfredsställelse mäts genom patientenkäter eller det annars finns moment som förutsätter patientens aktiva medverkan är man naturligtvis också beroende av att patienten frivilligt lämnar och låter dessa uppgifter registreras.
I undersökningen har det framkommit att det för många nationella kvalitetsregister skulle medföra stora problem, om ett författningsreglerat krav på samtycke införs som en förutsättning för personuppgiftsbehandlingen i registren. Problemen sammanhänger särskilt med att inhämtande av samtycke från patienterna skulle vara förenat med olägenheter av olika slag för inrapporterande kliniker m.fl. Det har från flera registerförare framhållits att ett samtyckeskrav skulle innebära en väsentligt ökad resursåtgång för hälso- och sjukvården, resurser som vårdgivaren har svårigheter att avvara från den sjukvårdande verksamheten. Inte minst på grund därav skulle ett samtyckeskrav medföra ett så stort bortfall i registreringen att registrens betydelse för kvalitetssäkringsarbetet och till och med fortsatta drift äventyras.
En sådan utveckling är naturligtvis inte önskvärd. Vårdgivare är enligt 31 § hälso- och sjukvårdslagen skyldiga att kvalitetssäkra sin verksamhet. Analyser av sammanställda personuppgifter i vårddokumentationen är en viktig, dock inte obligatorisk, metod i denna verksamhet vars samhällsnytta torde vara obestridlig. En hög täckningsgrad är helt avgörande för tillförlitligheten i registren.
Häremot kan dock anföras att det inte heller är helt tillfredsställande från integritetssynpunkt att patienter enligt gällande rätt inte har något inflytande över om uppgifter om dem skall få behandlas inom hälso- och sjukvårdens kvalitetssäkringsarbete som sker i för ändamålet särskilt inrättade register som samlar uppgifter från flera olika vårdgivare. Uppgifterna är inte sällan av känslig art och bara den omständigheten att ömtåliga uppgifter finns i ett register kan upplevas som besvärande för den enskilde. Det sagda gäller oavsett om registret förs på nationell eller regional nivå och oaktat att tillgång till uppgifterna i registren regelmässigt är starkt begränsad till ett fåtal personer. Kvalitetsuppföljning är vidare en verksamhet som sker i enlighet med hälso- och sjukvårdslagen. I 2 a § samma lag betonas patientens medbestämmanderätt. Det kan alltså hävdas att det är mer i hälso- och sjukvårdslagens anda att registerföringen förutsätter att den enskilde inte har något emot den, särskilt med tanke på att vårdgivarens deltagande i registerföringen inte är en direkt författningsreglerad skyldighet. Vår undersökning bland allmänheten
visar också att en majoritet menar att patienten bör ha ett inflytande i detta avseende.
Mot bakgrund av det anförda föreslår vi en bestämmelse som – med avvikelse från 12 § andra stycket personuppgiftslagen – ger den registrerade rätt att motsätta sig personuppgiftsbehandlingen förutsatt att denna sker i ett särskilt inrättat kvalitetsregister som förs nationellt eller regionalt.
Något krav på samtycke i den mening som avses i personuppgiftslagen såsom förutsättning för personuppgiftsbehandlingen föreslås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för personuppgiftsbehandling i kvalitetsregister. Givetvis bör denna ordning kombineras med krav på att den registrerade blir grundligt informerad om behandlingen och om sin rätt att motsätta sig den. Detta alternativ torde undanröja några av de negativa konsekvenserna av ett författningsreglerat samtyckeskrav som påtalats i det föregående samtidigt som den enskilde patientens integritetsskydd förbättras avsevärt i förhållande till nu gällande rätt enligt personuppgiftslagen. Såsom utvecklas nedan anser vi att förslaget är förenligt med dataskyddsdirektivet.
Någon särskild rätt att enbart motsätta sig personuppgiftsbehandling för ändamål som är sekundära föreslås inte här. Det bör dock anmärkas att det av 3 och 6 §§ etikprövningslagen följer att forskning som innefattar behandling av känsliga personuppgifter som avses i 13 § personuppgiftslagen eller personuppgifter om lagöverträdelse m.m. som avses i 21 § personuppgiftslagen skall etikprövas, om forskningspersonen inte har lämnat sitt uttryckliga samtycke till behandlingen inom det ifrågavarande forskningsprojektet. Sådan forskning som baseras på känsliga personuppgifter m.m. i kvalitetsregister är alltså bara tillåten om antingen den enskilde uttryckligt samtyckt till den ifrågavarande behandlingen för forskningsändamålet eller personuppgiftsbehandlingen har godkänts i ett etikprövningsförfarande. Våra förslag sätter alltså inte etikprövningslagen ur spel när det gäller forskning baserad på personuppgifter i kvalitetsregister. Detta gäller såväl den personuppgiftsansvarige vårdgivarens egen forskning som tredje mans forskning.
Av 12 § första stycket personuppgiftslagen följer att personuppgiftsbehandling som har sitt rättsliga stöd i ett av den registrerade lämnat samtycke, får fortsätta i fråga om redan insamlade uppgifter även efter det att samtycket återkallas. Däremot får inte nya personuppgifter samlas in och behandlas. Enligt vår mening bör en annan
ordning tillämpas när det gäller registrering i nationella och regionala kvalitetsregister. Vi föreslår således att registrerade skall ha en rätt att få sina personuppgifter utplånade ur registret, dvs. helt borttagna. Förslaget motiveras främst av att den registrerades rätt i annat fall riskerar att inte sällan bli rent illusorisk. Detta med tanke på att personuppgiftsbehandling kan komma att påbörjas även innan den registrerade informerats om registret, t.ex. på grund av att den registrerades hälsotillstånd har hindrat att information lämnas, se nedan avsnitt 16.4.6.
När det gäller frågan hur förslaget förhåller sig till dataskyddsdirektivet följer av direktivets artikel 14 a att den registrerade skall tillförsäkras rätten att – bl.a. då personuppgifter får behandlas utan samtycke för att en arbetsuppgift av allmänt intresse skall kunna utföras (artikel 7 e – ”…när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter.”) Vi har i avsnitt 8.5.3 föreslagit det förtydligandet i patientdatalagen att huvudregeln är att personuppgiftsbehandling med stöd av patientdatalagen får utföras även om den enskilde motsätter sig den. Vårt förslag när det gäller nationella och regionala kvalitetsregister är ett undantag från denna huvudregel. Mot bakgrund av bl.a. dataskyddsdirektivets artikel 14 a bedömer vi att undantaget är förenligt med dataskyddsdirektivet. Det torde inte vara nödvändigt att föreskriva någon prövning av huruvida den enskildes invändningar är berättigade eller inte (jfr dataskyddsdirektivets artikel 14 a). Behandlingen gäller i allmänhet uppgifter om hälsa, vilka är känsliga enligt såväl personuppgiftslagen som direktivet. Det bör därmed kunna anses ligga i sakens natur att den registrerade kan ha berättigade skäl att motsätta sig behandlingen.
Slutligen bör noteras att den omständigheten att det inte uppställs krav på särskilt samtycke till registrering givetvis inte innebär att vårdgivare inte får tillämpa en ordning där samtycke, uttryckligt eller inte, inhämtas. I många fall är det i hög grad lämpligt att inhämta samtycke från patienten. Våra förslag utgör en ramlag vari de yttre gränserna för den tillåtna personuppgiftsbehandlingen anges. Inom ramen överlåts det åt vårdgivarna att göra bedömningar såsom t.ex. om det för ett visst register är etiskt lämpligt med en ordning som innebär att uttryckligt samtycke till registrering i kvalitetsregister inhämtas. I sammanhanget kan påpekas att det ligger i vårdgivarnas
långsiktiga intresse att patienternas och allmänhetens förtroende för informationshanteringen inte naggas i kanten.
Det har i utredningen gjorts gällande att patienternas rätt att motsätta sig behandling av personuppgifter i nationella eller regionala kvalitetsregister kommer att medföra problem att bygga upp kvalitetsregister inom psykiatrin, särskilt inom tvångsvård enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Det har sagts oss att patienter inom dessa områden kan antas komma att i en inte obetydlig omfattning motsätta sig registrering. Vi har emellertid inte haft möjligheter att närmare utreda just detta område inom hälso- och sjukvården på sätt som ger tillräckligt stöd för att föreslå ett undantag för just detta område. Det är vidare ett område där särskilt integritetskänslig information kan antas ha betydelse som variabler i ett kvalitetsregister varför ett undantag från den huvudregel om patientens medbestämmanderätt som vi föreslår måste noga övervägas. Sådana överväganden bör i så fall göras efter utredning i särskild ordning.
16.4.6. Information
Vårt förslag: Den enskilde skall informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Denna informationsskyldighet följer av patientdatalagens allmänna bestämmelse om information som skall lämnas den enskilde och av personuppgiftslagen. Därutöver föreslår vi att den registrerade särskilt skall upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare skall den enskilde informeras om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Dessutom föreslår vi att den registrerade särskilt skall informeras om till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål.
Informationen skall lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart det kan ske.
Vår kartläggning av de nationella kvalitetsregistren ger vid handen att patienter som registreras i nationella kvalitetsregister normalt får skriftlig information om det aktuella registret. Utformningen av
informationen varierar emellertid. I många fall synes personuppgiftslagens krav på information som obligatoriskt och självmant skall lämnas till den registrerade inte helt uppfyllas. Exempelvis är det en mycket vanlig brist att det saknas upplysning om vem som är personuppgiftsansvarig för behandlingen i registret, en i sammanhanget mycket viktig upplysning för att patienten skall kunna göra gällande sin rätt. Datainspektionen har också vid sin tillsyn av ett tiotal nationella kvalitetsregister funnit bristfälligheter när det gäller informationens utformning.
I avsnitt 18.1 behandlar vi allmänna frågor om information som skall lämnas till patienten då personuppgifter behandlas enligt patientdatalagen. Dessa bestämmelser gäller givetvis även när personuppgifter behandlas i nationella och regionala kvalitetsregister. Det är här viktigt att framhålla att det av patientdatalagens allmänna bestämmelse om information följer att särskild information om kvalitetsregisterföringen i fråga måste ges till den enskilde, inte minst i fråga om att klargöra för patienten att registreringen är frivillig. Därför är det också viktigt att informationen lämnas före registreringen, vilket vi föreslår uttryckligen skall framgå i patientdatalagen.
Som närmare kommer att utvecklas i avsnitt 18.1 uppstår inte sällan situationer inom hälso- och sjukvården då information inte kan lämnas på ett tidigt stadium, t.ex. då patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Enligt vår uppfattning bör sådana situationer inte förhindra att personuppgiftsbehandlingen ändå påbörjas. I annat fall torde t.ex. integrering av elektronisk journalföring och rapportering till kvalitetsregister i många fall försvåras eller till och med omöjliggöras. I stället föreslår vi att informationen i en sådan situation skall lämnas så snart det kan ske. Undantag föreslås därför – när det gäller nationella och regionala kvalitetsregister – gälla i situationer då informationen inte kan lämnas på ett så tidigt stadium. På grund härav behöver patienten även informeras om sin rätt att när som helst begära att uppgifter utplånas ur registret
Vidare föreslås att patienten särskilt skall upplysas för det fall personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Vidare föreslår vi att patienten särskilt skall informeras om huruvida och i så fall till vilka kate-
gorier av mottagare personuppgifter lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål.
Hur informationen skall ges bör överlåtas åt varje personuppgiftsansvarig att bestämma. Något rättsligt krav på att informationen skall ges i viss form, muntlig eller skriftlig, föreslås alltså inte. Det finns dock anledning att understryka vikten av att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten skall fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges intresse, eftersom den personuppgiftsansvarige anses ha bevisbördan för att obligatorisk information enligt personuppgiftslagens krav på information faktiskt har lämnats till en registrerad. Sådant utdelande till berörda patienter av skriftliga informationsblad som i dag förekommer i fråga om ett flertal nationella kvalitetsregister är enligt vår mening ett lämpligt sätt att lämna information. Anslag i väntrum eller liknande och information på webbplats är bra komplement.
Det åligger också den personuppgiftsansvarige att tillse att informationen är utformad på ett sätt som kan förstås av den registrerade. När det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.
Det kan anmärkas att om ett kvalitetsregister först i ett senare skede avses (inom patientdatalagens ramar) användas för ett nytt ändamål eller planeras att samköras utan att registrerade patienter blivit informerade om detta vid registreringen är det tillräckligt att tydlig information om det nya ändamålet eller samkörningen lämnas t.ex. på en webbplats eller i tidningsannonser.
16.4.7. Direktåtkomst
Vårt förslag: I patientdatalagen tas en uttrycklig bestämmelse in som anger att en vårdgivare får ha direktåtkomst till sådana personuppgifter i ett kvalitetsregister som vårdgivaren tidigare rapporterat in till registret.
I avsnitt 8.7 har vi föreslagit att direktåtkomst till personuppgifter som behandlas elektroniskt skall få förekomma bara i den utsträckning som medges i lag eller förordning. Med direktåtkomst avses en specialform av utlämnande av personuppgifter på medium för automatiserad behandling. Innebörden av direktåtkomst är, förenklat uttryckt, att en mottagare av personuppgifterna kan, genom direkt-
uppkoppling till utlämnarens datasystem, söka efter och ta del av uppgifter i utlämnarens datasystem. Sådan direktåtkomst förekommer i flera av de nuvarande nationella kvalitetsregistren som tillämpar inrapportering via Internet. Direktåtkomsten avser emellertid bara personuppgifter om patienter som vårdgivaren själv inrapporterat till registret. Direktåtkomsten används av den inrapporterande vårdinrättningen för att göra t.ex. lokala uppföljningar av den egna verksamheten. Det kan här påpekas att personuppgifterna som finns lagrade i ett kvalitetsregister enligt såväl sekretesslagens som personuppgiftslagens synsätt är utlämnade från den inrapporterande vårdenheten och att ett nytt utlämnande äger rum då vårdenheten ges tillgång till ”sina” patientuppgifter i registret.
Vi menar att denna direktåtkomst till personuppgifter som vårdgivaren tidigare inrapporterat till registret även fortsättningsvis bör vara tillåten. Mot bakgrund av det nyss nämnda förslaget i avsnitt 8.7 behövs en uttrycklig bestämmelse om denna direktåtkomst.
När det gäller vilka befattningshavare hos såväl inrapporterande vårdgivare som inom den centrala registerförarens organisation som skall ha tillgång till personuppgifter gäller patientdatalagens allmänna bestämmelser om inre sekretess och tilldelning av behörighet för elektronisk åtkomst till personuppgifter (se avsnitt 12). Av dessa bestämmelser följer att endast den som behöver tillgång till personuppgifter i ett nationellt eller regionalt kvalitetsregister för att utföra arbete för ändamål för vilka registren är tillåtna, får ha elektronisk åtkomst till sådana uppgifter.
16.4.8. Bevarande och gallring
Vårt förslag: Personuppgifter i ett nationellt eller regionalt kvalitetsregister skall gallras när de inte längre behövs för ändamålet kvalitetssäkring. Gallring kan ske genom att personuppgifterna avidentifieras. Vederbörande arkivmyndighet får dock meddela föreskrifter om att personuppgifterna skall bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål. Om regeringen föreskrivit att annan än myndighet i kommun eller landsting får vara personuppgiftsansvarig för ett nationellt eller regionalt kvalitetsregister, se avsnitt 16.4.3, får regeringen samtidigt föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
I våra direktiv anges att vi skall överväga vad som skall gälla för register av olika livslängd och för bevarande av personuppgifter.
I vår kartläggning av nationella kvalitetsregister har det endast i undantagsfall framgått att uppgifterna systematiskt skall rensas eller gallras från nationella kvalitetsregister. I ett fåtal register avidentifieras personuppgifter efter vissa tidsramar. Ett vanligt skäl till att personuppgifter bevaras är att patienter skall följas upp under lång tid, inte sällan återstående livstid. Det kan också påpekas att flertalet register är ganska nya. Många är fortfarande under uppbyggnad och i ett utvecklingsskede.
Huruvida registret i sin helhet förs av t.ex. en specialistförening eller av en specialistklinik vid ett offentligt sjukhus är naturligtvis av avgörande betydelse för frågan om personuppgifters bevarande eller gallring. I det förra fallet gäller personuppgiftslagens bestämmelser om hur länge personuppgifter får behandlas medan arkivlagens (1990:782) bestämmelser om hur länge allmänna handlingar skall bevaras gäller i det senare fallet.
Med vårt förslag om personuppgiftsansvar för central hantering av nationella och regionala kvalitetsregister kommer arkivlagens bestämmelser att gälla, eftersom kvalitetsregistren utgör allmänna handlingar. Utgångspunkten enligt arkivlagen är att allmänna handlingar skall bevaras för framtiden.
Enligt vår uppfattning är detta inte en tillfredsställande lösning för personuppgifter i nationella och regionala kvalitetsregister. Motsatt utgångspunkt bör i stället gälla, dvs. att personuppgifterna skall gallras då de inte längre behövs för det primära ändamålet med ifrågavarande kvalitetsregister, att systematiskt och fortlöpande säkra och utveckla hälso- och sjukvårdens kvalitet. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, skall gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten.
Gallring kan utföras på många olika sätt när det gäller elektroniskt lagrad information. Enligt vår uppfattning räcker det för att uppfylla lagens krav att personuppgifterna i fråga avidentifieras så att de inte längre direkt eller indirekt kan knytas till den enskilda. Handlar det om kodade uppgifter, kan det alltså räcka med att kodnyckeln förstörs förutsatt att bakvägsidentifiering därefter inte är möjlig. Det räcker normalt inte att bara gallra bort personnummer eller namn. Ofta går det att via uppgifter om t.ex. operationsdatum, kön, ålder, opererande klinik och liknande uppgifter härleda uppgifter till en-
skilda patienter. Det skall alltså inte vara möjligt efter avidentifiering.
Från denna huvudregel om gallring får arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvariga myndigheten hör, meddela föreskrifter om att personuppgifterna trots allt får bevaras under längre tid, om det sker för historiska, statistiska eller vetenskapliga syften. Det krävs alltså ett aktivt ställningstagande på central nivå hos en eller flera sjukvårdshuvudmän för att föreskriven gallring skall kunna underlåtas.
För det fall ett kvalitetsregister, efter föreskrift av regeringen, förs av någon annan personuppgiftsansvarig än en myndighet i kommun eller landsting, föreslår vi att regeringen också får föreskriva längre bevarandetid för historiska, statistiska eller vetenskapliga syften.
16.4.9. Övrigt
När det gäller annat elektroniskt utlämnande än direktåtkomst, sökbegrepp, rättelse och skadestånd m.m. föreslås inga särbestämmelser i förhållande till vad som i övrigt skall gälla vid behandling av personuppgifter enligt patientdatalagen.
16.5. Sekretessfrågor
I utredningsdirektiven anges att de nationella kvalitetsregistren ofta behöver få ut uppgifter från Epidemiologiskt Centrum (EpC) vid Socialstyrelsen om avlidna. Vidare påtalas att denna möjlighet upphörde genom en lagändring den 1 april 2001 i 9 kap. 4 § sekretesslagen, vilket har orsakat problem för kvalitetsregistren. Mot den bakgrunden skall vi, enligt direktiven, granska om sekretessregleringen, främst bestämmelsen i 9 kap 4 § sekretesslagen, utgör hinder för att uppgifter skall kunna lämnas till respektive lämnas ut från kvalitetsregistren. Om så är fallet, skall vi överväga om, och i så fall i vilken utsträckning, uppgifter bör få lämnas till respektive från registren. I sistnämnda fall skall vi lämna förslag som gör sådant uppgiftsutlämnande möjligt.
Om vi stöter på andra problem med anledning av gällande sekretessbestämmelser, skall vi enligt ursprungsdirektiven se över dessa samt lämna förslag till lösningar. I denna del har vi uppmärksammat att flödet av sekretessbelagda uppgifter mellan vårdgivare och kvali-
tetsregister som förs utanför vårdgivarens egen verksamhet genererar en del frågeställningar av särskild betydelse för nationella och regionala kvalitetsregister. Vi behandlar dessa nedan i avsnitt 16.5.1. Frågan om kvalitetsregisterförares möjligheter att få ut sekretessbelagda uppgifter från Socialstyrelsens hälsodataregister eller dödsorsaksregister behandlas i avsnitt 16.5.2.
16.5.1. Överföring av uppgifter i kvalitetsregisterrapporteringen
Vårt förslag: Vi föreslår ett nytt sekretessbrytande undantag från hälso- och sjukvårdssekretessen i en bestämmelse som anger att sekretess enligt 7 kap. 1 c § första stycket sekretesslagen inte hindrar att uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagens särskilda reglering. Bestämmelsen tas in i den av oss tidigare föreslagna nya paragrafen 7 kap. 1 d § sekretesslagen. I övrigt bedömer vi att flödet av kvalitetsregisteruppgifter mellan myndigheter inom hälso- och sjukvården kan ske inom ramen för den nuvarande sekretessregleringen. Detsamma gäller flödet från privata vårdgivare.
Beskrivning av frågeställningarna såvitt gäller sekretess
Gemensamt för inrapporteringen till de nationella och regionala kvalitetsregistren är att uppgifter normalt korsar sekretessgränser i samband med inrapporteringen. Det kan här påpekas att det är fråga om ett utlämnande av sekretessbelagda uppgifter även då en deltagande vårdenhet själv utför registreringen elektroniskt via t.ex. Internet, om uppgifterna därigenom blir tillgängliga för en registerhållare utanför den egna vårdgivarens myndighet.
I det följande behandlas tre frågeställningar som detta flöde av sekretessbelagda uppgifter aktualiserar nämligen
1) vilken eller vilka sekretessbestämmelser tillämpas vid utlämnan-
det av sekretessbelagda uppgifter från vårdenheter till kvalitetsregisterförare utanför den egna vårdgivarens myndighet?
2) vad gäller för de privata vårdgivarnas inrapportering? 3) vilken sekretessbestämmelse skyddar patientuppgifterna från
offentlighet sedan de utlämnats till en central registerförare enligt fråga 1 eller 2?
Gällande rätt
Inom den allmänna hälso- och sjukvården gäller som huvudregel en förhållandevis sträng sekretess för uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, se 7 kap. 1 c § första stycket sekretesslagen. I avsnitt 8.7 har vi redogjort relativt utförligt för innebörden av hälso- och sjukvårdssekretessen m.m. I detta sammanhang kan kort erinras om att sekretessen gäller med ett omvänt skaderekvisit, vilket innebär att en uppgift får lämnas ut bara om det står klart att uppgiften kan röjas utan att den enskilde eller någon honom eller henne närstående lider men. Presumtionen är alltså för sekretess. Sekretessen anses dock tillämplig bara på sådan hälso- och sjukvård och annan medicinsk verksamhet som är individuellt inriktad. Miljö- och samhällsmedicin och annan förebyggande hälsovård av mera generell karaktär hör således inte till det område inom vilket sekretess gäller enligt 7 kap. 1 § sekretesslagen (se Regner, Eliason, Heuman, Sekretesslagen, En kommentar, s. 7:3, i fortsättningen Regner m.fl.).
Vad som skall förstås med begreppet men definieras inte i sekretesslagen. I lagens förarbeten finns emellertid allmänna uttalanden om begreppets innebörd. Enligt dessa uttalanden är begreppet vidsträckt och tar framför allt sikte på olika kränkningar av den personliga integriteten som kan uppstå om uppgifter lämnas ut (jfr prop. 1979/80:2 Del A s. 83). Den enskildes egen upplevelse skall tas till utgångspunkt för en bedömning av om men föreligger, dock att det finns visst utrymme att ta hänsyn till gängse värderingar i samhället om vad som kan uppfattas som men. Det fallet att uppgifter avses lämnas ut i kodad form eller på ett annat sätt som gör att de endast indirekt kan hänföras till den enskilde torde normalt kunna påverka den menbedömning som måste göras vid en sekretessprövning enligt 7 kap 1 c § sekretesslagen.
Om sekretess gäller för en uppgift hos en myndighet inom hälso- och sjukvården får uppgiften inte röjas för enskilda (t.ex. en förening för specialiserade läkare) eller andra myndigheter (t.ex. inom ett annat landsting) utan stöd i sekretesslagen eller i en lag eller förordning till vilken sekretesslagen hänvisar (1 kap. 2 § och 3 § första stycket sekretesslagen). I sekretesslagen finns flera undantagsbestämmelser som medger att sekretessbelagda uppgifter får lämnas ut. I det följande redovisas några undantag som kan vara av särskilt intresse i det nu aktuella sammanhanget.
Av 1 kap. 5 § sekretesslagen följer att sekretess inte hindrar att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myn-
digheten skall kunna fullgöra sin egen verksamhet. Av förarbetena framgår att bestämmelsen skall tillämpas restriktivt (a. prop. s. 465).
I 14 kap. sekretesslagen finns, som framgår av redogörelsen i avsnitt 8.7, flera bestämmelser om begränsningar i sekretessen. Den bestämmelse som närmast är av intresse för kvalitetsregistren är 14 kap. 4 § första stycket enligt vilken sekretessen kan efterges av patienten. Till skillnad från personuppgiftslagen innehåller sekretesslagen ingen närmare beskrivning av vilka krav som ställs på ett samtycke. Ett samtycke enligt 14 kap. 4 § behöver t.ex. inte vara uttryckligt. Också ett tyst, s.k. presumerat, samtycke kan godtas (Regner m.fl., s. 14:36). Bestämmelsen om den enskildes samtycke är tillämplig alldeles oberoende av om uppgifterna skall lämnas ut till en enskild eller till en annan myndighet.
Mellan hälso- och sjukvårdsmyndigheter inom landsting och kommuner gäller emellertid för visst uppgiftsutbyte en väsentlig lättnad i den annars stränga sekretessen. Enligt 7 kap. 1 c § femte stycket sekretesslagen får uppgifter lämnas från en myndighet inom ett landsting eller en kommun, som bedriver hälso- och sjukvård eller annan medicinsk verksamhet som avses i paragrafens första stycke, till en annan sådan myndighet för forskning, framställning av statistik eller administration på verksamhetsområdet. Sekretess gäller dock för uppgiften, om det kan antas att den enskilde eller någon honom eller henne närstående lider men om uppgiften röjs. Presumtionen här är, till skillnad från vad som normalt gäller för hälso- och sjukvårdssekretess, för offentlighet. Uppgiften får alltså normalt lämnas ut under förutsättning dels att mottagaren är en annan myndighet inom ett landsting eller en kommun, dels att mottagaren skall använda uppgifterna för ändamålen forskning, framställning av statistik eller administration på verksamhetsområdet. Avser den mottagande myndigheten att använda uppgifterna för andra ändamål gäller huvudregeln i paragrafens första stycke om sekretess med ett omvänt skaderekvisit, dvs. en presumtion för sekretess.
Bestämmelsen infördes genom en lagändring år 1991. Av förarbetena till lagändringen framgår bl.a. att bakgrunden till bestämmelsen var den ökade användningen av datoriserade register, även på regional nivå, över patientuppgifter som används i vården eller för vårdadministration men också för forskning och framställning av statistik (prop. 1990/91:111 s. 25 f.). Enligt regeringen är det i dessa fall av rutinmässigt uppgiftsutlämnande lämpligt att en generell sekretessprövning skall kunna ske när man bestämmer vilka slags uppgifter som skall få tillföras ett visst register. Bedömningen får
då ske med hänsyn tagen till bl.a. uppgifternas art, det sekretesskydd uppgifterna kommer att få hos mottagaren samt den tekniska utformningen av informationssystemet (behörighetskontroll m.m.).
Våra överväganden
Kvalitetsregisteruppgifter hämtas i allmänhet ur patientjournaler eller sammanhänger på annat sätt med dokumentationen i samband med den individinriktade hälso- och sjukvården. Uppgifterna hos den inrapporterande vårdenheten omfattas således av hälso- och sjukvårdssekretess enligt 7 kap. 1 c § sekretesslagen, förutsatt att vårdenheten hör till en offentlig vårdgivare, dvs. ingår i en myndighet eller vårdgivaren är ett kommunalt företag som avses i 1 kap. 9 § sekretesslagen.
Systematisk och fortlöpande säkring av kvaliteten i hälso- och sjukvårdsverksamheten är en förpliktelse för vårdgivarna enligt 31 § hälso- och sjukvårdslagen och enligt 16 § tandvårdslagen. Kvalitetssäkring i form av kvalitetsregister bör ses som en integrerad del av sådan hälso- och sjukvårdsverksamhet som avses i 7 kap. 1 c § första stycket sekretesslagen alldeles oberoende av huruvida ett kvalitetsregister är nationellt, regionalt eller lokalt. Visserligen lämnas patientuppgifter ut till annan offentlig vårdgivare när de inrapporteras till ett kvalitetsregister som förs centralt utanför den egna myndighetsorganisationen. Uppgifterna härrör emellertid från en individinriktad verksamhet av samma slag som bedrivs av den mottagande myndigheten. Trots att det inte finns någon direkt vårdrelation mellan den mottagande registerföraren och patienten lämnar uppgifterna inte den sektor av faktisk hälso- och sjukvårdsverksamhet som omfattas av tillämpningsområdet för 7 kap. 1 c § första stycket sekretesslagen. Enligt vår uppfattning är sekretessbestämmelsen därför tillämplig beträffande samtliga uppgifter i ett kvalitetsregister vari flera vårdgivare deltar och inte bara beträffande de uppgifter som härrör från samma myndighetsorganisation som ansvarar för den centrala registerföringen.
I sammanhanget kan nämnas att det i förarbetena till vårdregisterlagen anges att sekretessen enligt 7 kap. 1 c § sekretesslagen gäller inom den offentligt bedrivna hälso- och sjukvården oavsett om uppgifterna finns i ett vårdregister eller behandlas för bl.a. kvalitetssäkring (prop. 1997/98:108 s. 78). Förhållandet åberopades därvid som stöd för att tillåta elektroniskt utlämnande av uppgifter från vård-
register till bl.a. en mottagare som skulle använda uppgifterna för kvalitetssäkring av hälso- och sjukvård.
Bedömningen i det föregående innebär dock inget undantag från att det skall finnas lagligt stöd för den överföring av sekretessbelagda uppgifter som sker när en vårdenhet inrapporterar uppgifter om sina patienter till ett kvalitetsregister som hanteras centralt utanför den myndighet till vilken inrapporten hör. I denna fråga gör vi följande bedömning.
Enligt vår uppfattning kan 1 kap. 5 § sekretesslagen inte åberopas till stöd för uppgiftsutlämnandet. Det torde nämligen inte kunna hävdas att patientuppgifter måste lämnas ut till kvalitetsregister för att den utlämnande myndigheten skall kunna fullgöra sin egen verksamhet.
Som framgått i det föregående ger 14 kap. 4 § sekretesslagen stöd för vårdenheternas utlämnande av kvalitetsregisteruppgifter till registerförare då patienten har samtyckt till utlämnandet. Enligt vår bedömning torde utlämnande med stöd av 14 kap. 4 § sekretesslagen i realiteten vara den enda rättsliga möjligheten att utlämna sekretessbelagda kvalitetsregisteruppgifter till sådana register som för närvarande hanteras centralt av enskild, t.ex. en privat vårdgivare eller en förening för specialiserade läkare. I synnerhet gäller det sagda kvalitetsregister vari uppgifter som direkt pekar ut den enskilde registreras, t.ex. genom personnummer.
Enligt vårt förslag till särbestämmelser för personuppgiftsbehandling i nationella och regionala kvalitetsregister kommer emellertid som huvudregel bara myndigheter hos landsting och kommuner att få vara personuppgiftsansvariga för ett sådant kvalitetsregisters centrala personuppgiftshantering. I vårt förslag kommer vidare den enskilde patienten att ges en rätt att, efter att ha blivit grundligt informerad, motsätta sig registrering i kvalitetsregister enligt en opt out-modell. Kvalitetsregisterföringen kommer därigenom i praktiken att bygga på patienternas tysta samtycke. Som nyss sagts godtas att ett sådant tyst samtycke har sekretessbrytande verkan enligt 14 kap. 4 § sekretesslagen. I allmänhet kommer således vårt förslag när det gäller nationella och regionala kvalitetsregister att vara väl förenligt med att uppgifter lämnas ut i sekretesslagens mening med stöd av 14 kap. 4 § sekretesslagen.
Samtidigt är det inte helt tillfredsställande att ett rutinmässigt och ibland omfattande flöde av uppgifter, som omfattas av en sekretess med ett omvänt skaderekvisit, lämnas enbart med stöd av ett tyst, i det närmaste presumerat samtycke från den berörda patienten.
Som framförts i avsnitt 11.3 och 11.5 kan samtycket ibland – inte minst i fråga om kvalitetsregister för akutsjukvård eller liknande – bygga på ett ganska passivt val av en patient som just i valsituationen har andra problem att tänka på än en eventuell kvalitetsregistrering. Personuppgiftsbehandlingen kan vidare påbörjas innan den enskilde fått information om behandlingen. Sker inrapportering i dessa fall, kan man knappast åberopa tyst samtycke till stöd för uppgiftsutlämnandet. Sammantaget anser vi alltså att 14. kap. 4 § sekretesslagen inte ger ett tillräckligt tydligt stöd för den inrapportering till kvalitetsregister som vi föreslagit skall få äga rum.
Vi menar mot denna bakgrund att det är motiverat med ett undantag från hälso- och sjukvårdssekretessen för inrapportering av uppgifter till nationella och regionala kvalitetsregister som sker i enlighet med patientdatalagens krav. Undantaget måste ses tillsammans med de integritetsskyddande garantier vi föreslagit i avsnitt 16.4, t.ex. rätten att få uppgifter utplånade från registret.
Avslutningsvis skall något nämnas om de privata vårdgivarnas utlämnande av patientuppgifter till kvalitetsregister som förs av en annan vårdgivare.
I 2 kap. 8 och 9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område finns särskilda bestämmelser om tystnadsplikt för den som tillhör eller har tillhört hälso- och sjukvårdspersonalen i den enskilda hälso- och sjukvården. Enligt 8 § får sådan personal inte obehörigen röja vad han eller hon i sin verksamhet fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av obehörighetsrekvisitet har det i praxis ansetts naturligt att söka ledning i sekretesslagens bestämmelser. Vi bedömer därför att privata vårdgivares möjligheter att behörigen lämna ut kvalitetsregisteruppgifter är likvärdiga med landstingens och kommunernas.
För det fall regeringen kommer att föreskriva att en privat vårdgivare, en specialistförening eller annan enskild får vara personuppgiftsansvarig för den centrala hanteringen av ett nationellt eller regionalt kvalitetsregister, bedömer vi att uppgifterna i det centrala registret omfattas av tystnadsplikt enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område.
16.5.2. Kvalitetsregister och statistiksekretessen
Vårt förslag: För att möjliggöra kvalitetsregisterförares långtidsuppföjning av vårdkvalitet i bemärkelsen överlevnad, föreslås en utvidgning av undantagen från den absoluta statistiksekretessen i 9 kap. 4 § sekretesslagen att omfatta också uppgift om avlidna och som rör dödsorsak eller dödsdatum. Sådana uppgifter föreslås få lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att ett utlämnande kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.
Beskrivning av problemet
Socialstyrelsen för fem hälsodataregister varav fyra vid EpC – patientregistret, medicinska födelseregistret, cancerregistret och läkemedelsregistret – till vilka vårdgivare har en författningsreglerad skyldighet att lämna vissa uppgifter. Vid Socialstyrelsen förs även det s.k. dödsorsaksregistret. Till Socialstyrelsen skall anmälan enligt 4 kap.2 och 5 §§begravningslagen (1990:1144) göras om bl.a. dödsorsak vid alla konstaterade dödsfall avseende personer som är folkbokförda i Sverige. Dödsorsaksregistret innehåller individrelaterade uppgifter om bl.a. underliggande dödsorsak, multipla dödsorsaker, dödsdatum, uppgift om obduktion, kön, ålder och hemort. I och med att en uppgiftsskyldighet föreligger, har registren en mycket hög täckningsgrad.
I vår kartläggning av de nationella kvalitetsregistren har det framkommit att flera registerhållare har behov av att genom samkörning av kvalitetsregisteruppgifter kunna få tillgång till uppgifter från Socialstyrelsens hälsodataregister, främst patientregistret, samt i synnerhet uppgifter från dödsorsaksregistret. Orsaken till behovet kan variera.
Beträffande några kvalitetsregister är en samkörning med uppgifter i hälsodataregister ett sätt att kontrollera kvaliteten i den egna registerföringen, t.ex. i fråga om underrapportering eller i fråga om riktigheten av inrapporterade uppgifter. Svenska kärlregistret (Swedvasc) kan nämnas som exempel på ett kvalitetsregister beträffande vilket det uttalats behov av samkörning med patientregistret för kontroll av registrets täckningsgrad och övrig kvalitet. För andra kvalitetsregister är en samkörning med Socialstyrelsens register direkt
relevant för kvalitetsuppföljningen. Genom samkörning med patientregistret kan uppgifter fås fram om t.ex. nya behandlingar eller omoperationer som en tidigare registrerad patient genomgått och som inte rapporterats till kvalitetsregistret. Sådana uppgifter är förstås av värde för uppföljningen av den registrerade behandlingens resultat. Samkörning med dödsorsaksregistret ger främst besked om dödlighet i en aktuell sjukdom efter avslutad behandling. Det har sagts till utredningen att samkörning med dödsorsaksregistret är av särskilt stor vikt för långtidsuppföljningen av behandlingsresultat. En del kvalitetsregister, t.ex. Riks-stroke, har behov av samkörning med Socialstyrelsens register för såväl kontroll av registerkvaliteten som själva kvalitetsuppföljningen.
Tidigare tillät Socialstyrelsen samkörning mellan kvalitetsregister och dödsorsaksregistret. För några år sedan upphörde emellertid denna möjlighet med anledning av ändringen år 2001 i bestämmelsen i 9 kap. 4 § sekretesslagen om den s.k. statistiksekretessen (se om lagändringen i nästa avsnitt). Före lagändringen var vidare uppgifter om avlidna generellt undantagna från den absoluta statistiksekretessen.
Numera lämnas uppgifter ut genom samkörning mellan hälsodataregister eller dödsorsaksregistret och kvalitetsregister endast om det sker inom ramen för ett forskningsprojekt, dvs. om det finns ett forskningsändamål bakom mottagarens begäran om samkörning, och det enligt Socialstyrelsens bedömning står klart att utlämnande kan ske utan att den enskilde eller dennes närstående lider skada eller men. Gäller samkörningen hälsodataregister krävs normalt även godkännande från etikprövningsnämnd.
Även om flertalet kvalitetsregister framställer statistik som underlag för analysarbetet och som ett sätt att redovisa vårdkvaliteten i återrapporteringar till vårdgivare m.fl., lämnar Socialstyrelsen inte ut uppgifter till kvalitetsregisterförare för mottagarens statistikändamål. För statistikändamål godtar Socialstyrelsen bara sådana mottagande myndigheter som själva framställer sådan statistik som omfattas av statistiksekretess.
Många registerhållare har anfört att hindren mot att få ut uppgifter från hälsodataregistren samt ändringen år 2001 i 9 kap. 4 § sekretesslagen i fråga om avlidna är mycket negativ för deras verksamhet. Enligt dem försvåras kvalitetsarbetet betydligt, om inte kvalitetssäkring godtas som ett rättsligt godtagbart syfte för att få ut uppgifter från hälsodataregister eller dödsorsaksregistret.
I vårt kartläggningsarbete har det framkommit att i omkring hälften av de nuvarande nationella kvalitetsregistren finns uttalade önskemål om att kunna samköra kvalitetsregistren med något eller några av Socialstyrelsens register. När det särskilt gäller vissa kvalitetsregister inom cancerområdet samkörs dessa av regionala onkologiska centrum gentemot centrumets regionala cancerregister. Även beträffande dessa kvalitetsregister finns det emellertid önskemål om att samköra uppgifter i registren med Socialstyrelsens nationella cancerregister, främst i syfte att följa upp registrerade patienters återinsjuknande, dödlighet och liknande kvalitetsvariabler. Många patienter flyttar nämligen över gränserna för sjukvårdsregionerna varför samkörning med det egna regionala cancerregistret utgör en osäker långtidsuppföljning.
Gällande rätt och praxis
Som nyss sagts tillämpar Socialstyrelsen statistiksekretessen i 9 kap. 4 § sekretesslagen när det gäller frågor om utlämnande av uppgifter från hälsodataregister – dvs. det nationella cancerregistret, patientregistret, det medicinska födelseregistret och läkemedelsregistret – samt dödsorsaksregistret.
Enligt bestämmelsen gäller sekretess i sådan särskild verksamhet hos myndighet som avser framställning av statistik, som utförs av myndighet, för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Främst avses sådan statistik som tillhör den officiella statistikproduktionen, vilken regleras av lagen (2001:99) om den officiella statistiken och den till lagen anslutande förordningen (2001:100) om den officiella statistiken. I en bilaga till förordningen specificeras närmare vilka myndigheter som ansvarar för framställningen av officiell statistik om olika företeelser. Dessa myndigheter benämns som statistikansvariga myndigheter. Socialstyrelsen är statistikansvarig myndighet för statistik om hälsa och sjukdomar, hälso- och sjukvård samt dödsorsaker. Uppgifterna i Socialstyrelsens hälsodataregister samt dödsorsaksregister omfattas mot bakgrund av det sagda av statistiksekretess enligt 9 kap. 4 § sekretesslagen. Däremot gäller inte statistiksekretessen för den statistikframställning som görs av vårdgivare inom ramen för de nationella eller regionala kvalitetsregistren.
Enligt huvudregeln är statistiksekretessen absolut, dvs. den gäller oberoende av om ett utlämnande kan antas medföra skada eller men för den enskilde. Det kan vidare nämnas att den s.k. generalklausulen
i 14 kap. 3 § sekretesslagen, som innebär att i och för sig sekretessbelagda uppgifter kan lämnas ut efter en intresseavvägning, inte gäller i fråga om uppgifter som omfattas av statistiksekretess. Från huvudregeln om absolut sekretess görs dock undantag för uppgifter som behövs för forsknings- eller statistikändamål och uppgifter som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde. För dessa fall gäller att en uppgift får lämnas ut efter en skadeprövning enligt ett s.k. omvänt skaderekvisit. Uppgiften får i dessa fall lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom eller henne närstående lider skada eller men.
Tidigare fanns fler undantag från den absoluta sekretessen. Dessa upphörde emellertid genom en lagändring som trädde i kraft den 1 april 2001 och som syftade till att anpassa bestämmelserna till Rådets förordning (EG) nr 322/97 av den 17 februari 1997 om gemenskapsstatistik, se nedan. Ett av de upphävda undantagen gällde uppgift som avser avliden och var alltså ett relevant undantag för uppgifterna i dödsorsaksregistret.
När det gäller de nu gällande undantagen kan till en början sägas att undantaget för uppgifter som endast indirekt är hänförliga till en enskild person inte är användbart beträffande de aktuella kvalitetsregistren, eftersom behovet går ut på att på basis av personnummer kunna samköra uppgifter om enskilda patienter i ett kvalitetsregister med de personnummerbaserade uppgifterna i Socialstyrelsens register. Behovet avser alltså uppgifter som är direkt hänförliga till den enskilde. För att de efterfrågade uppgifterna över huvud taget skall kunna lämnas ut, krävs det alltså att uppgifterna behövs för forsknings- eller statistikändamål.
Regeringsrätten har i en dom den 16 januari 2004, mål nr 5778-02, resonerat kring frågan i vad mån kvalitetssäkring enligt 31 § hälso- och sjukvårdslagen kan anses utgöra sådan forskning eller statistik som avses i 9 kap. 4 § sekretesslagen. Målet gällde en begäran från en biträdande verksamhetschef vid medicinkliniken på Mora lasarett om att från dödsorsaksregistret få ut uppgifter om dödsorsak beträffande vissa namngivna patienter. Uppgifterna skulle sammanställas i statistiska tabeller och användas för kvalitetsuppföljning av sjukvård bestående av behandling med blodförtunnande medel inom landstinget i Dalarna. Det begärda utlämnandet avsåg således inte samkörning med ett nationellt eller regionalt kvalitetsregister.
I domen konstaterade Regeringsrätten att det varken i lagtexten eller i förarbetena preciserats vad som avses med forskningsända-
mål och att ledning för fastställande av begreppets innebörd därför får sökas på annat håll. I domen redovisades därefter att det i 2 § etikprövningslagen ges en definition av vad som avses med forskning enligt den lagen. Med forskning avses där vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund. Enligt förarbetena bygger avgränsningen på bl.a. OECD:s riktlinjer. När det gäller gränsdragningen gentemot t.ex. kvalitetssäkring och resultatuppföljning anfördes i förarbetena bl.a. att sådan verksamhet som avses i 31 § hälso- och sjukvårdslagen inte avses utgöra forskning i lagens mening (prop. 2002/03:50 s. 90 f. och 192). Även i 3 § lagen (1998:543) om hälsodataregister (hälsodataregisterlagen), framhöll Regeringsrätten, görs en skillnad mellan uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård å ena sidan och forskning å andra sidan. Ett påpekande om att begreppet forskning inte får förväxlas med uppföljning, utvärdering eller kvalitetssäkring gjordes också i förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (prop. 2000/01:80 s. 138). Regeringsrätten anförde därefter att den åtskillnad som i olika sammanhang görs mellan forskning å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan bör upprätthållas även vid en tillämpning av 9 kap. 4 § sekretesslagen. Att uppgifter behövs för att användas vid uppföljning av vård ansåg Regeringsrätten således inte innebära att uppgifter som omfattas av statistiksekretess kan lämnas ut med hänvisning till att de behövs för forskningsändamål. Inte heller fann Regeringsrätten att det förhållandet att uppgifterna i en framtid kan komma att användas inom forskning skulle kunna påverka bedömningen.
När det gäller frågan om de begärda uppgifterna behövdes för statistikändamål fann Regeringsrätten att det förhållandet att uppgifter inom ramen för uppföljning, utvärdering och liknande verksamhet sammanställs statistiskt inte kan anses innebära att uppgifterna används för statistikändamål i den mening som avses i 9 kap. 4 § sekretesslagen. Regeringsrätten anförde här bl.a. att det enligt förarbetena till bestämmelsen – som infördes genom en lagändring år 1995 – betonades att det främst var fråga om uppgifter i mindre känsliga register och att möjligheten till utlämnande borde tillämpas mycket restriktivt såsom hade varit fallet med den näraliggande bestämmelsen om utlämnande för forskningsändamål (prop. 1994/95:200 s. 38). Främst torde, anförde Regeringsrätten, utlämnande till andra statistikansvariga myndigheter ha åsyftats. Sammanfattningsvis fann alltså
Regeringsrätten att undantagen från den absoluta sekretessen inte var tillämpliga i målet.
I utredningsdirektiven nämns ytterligare ett rättsfall, nämligen Kammarrättens i Stockholm dom den 9 juli 2002 i mål nr 4060-2002. Den domen avser ett överklagat beslut av Socialstyrelsen att avslå en begäran om att få ut uppgifter om dödsdag och dödsorsak från dödsorsaksregistret avseende patienter som är registrerade i det svenska hjärtkirurgiregistret. Till skillnad från den nyss refererade regeringsrättsdomen rör det sig i detta fall således om ett nationellt kvalitetsregister. Kammarrätten avslog överklagandet med motiveringen att de begärda uppgifterna inte behövdes för forsknings- eller statistikändamål.
Beträffande undantaget från statistiksekretessen för statistikändamål kan tillfogas att Lagrådet, i samband med att undantaget skulle införas i 9 kap. 4 § sekretesslagen, påpekade att det av lagtexten borde framgå att möjligheten till sekretessgenombrott för statistikändamål endast var avsedd att tillämpas i fråga om utlämnande för den officiella statistiken (a. prop. s. 57). Regeringen ansåg dock inte att ett förtydligande i lagtexten var lämpligt, eftersom det skulle försvåra framställningen av statistikansvariga myndigheters s.k. övriga statistik som vid den tidpunkten inte omfattades av regleringen av den officiella statistiken. Regeringen påpekade vidare att utlämnande i realiteten endast bör komma i fråga till myndigheter som själva tillämpar statistiksekretess. Då blir skyddet för uppgifter som lämnats ut lika gott som hos den utlämnande myndigheten (a. prop. s. 28 och 38). Regeringens uttalande tyder på att undantaget för statistikändamål teoretiskt skulle kunna omfatta all slags statistik men att det i praktiken endast blir tillämpligt beträffande statistikansvariga myndigheters statistik. Tanken skulle då kanske kunna vara att en skadeprövning enligt det föreskrivna omvända skaderekvisitet leder till att uppgifter bara kan lämnas ut, om uppgifterna skyddas av en lika stark sekretess hos mottagaren som hos utlämnaren, nämligen en absolut sekretess med högst motsvarande undantag.
EG-rätten
Sveriges inträde i Europeiska ekonomiska samarbetsområdet, EES, och senare medlemskap i Europeiska unionen, EU, har haft stor inverkan på den svenska statistikproduktionen genom att den blivit inbegripen i EU:s statistiksamarbete. Utgångspunkten för statistik-
samarbetet är formulerad i artikel 285 i EG-fördraget, den primära EG-rätten, som genom Amsterdamfördraget anger att rådet skall besluta om åtgärder för att framställa sådan statistik som behövs för gemenskapens verksamhet. Alla områden som EU innefattar avses med gemenskapens verksamhet.
I den sekundära EG-rätten styrs statistiken inom EU i stor utsträckning av förordningar beslutade av EU:s Ministerråd eller av rådet och Europaparlamentet. Även direktiv och andra rättsakter förekommer. Enligt en rapport från Statistiska centralbyrån, SCB, fanns det i början av år 2002 drygt 180 statistiska rättsakter från EU. I vart fall hälften av dessa är förordningar och är som sådana direkt tillämpliga i Sverige.
Den 17 februari 1997 antog Ministerrådet förordningen nr 322/97 om gemenskapsstatistik. Syftet med förordningen är att upprätta en rättslig ram för framställning av gemenskapsstatistik i avsikt att utforma, tillämpa, övervaka och värdera gemenskapens politik. Tanken är att EU skall grunda sina beslut på statistik som är aktuell, tillförlitlig, väsentlig och jämförbar mellan medlemsstaterna. Förordningen är ett bidrag till utvecklandet av ett samordnat statistiskt system för gemenskapen.
Förordningen är indelad i sex kapitel och består av 23 artiklar. Första kapitlet innehåller allmänna bestämmelser om förordningens syfte (artikel 1) och definitioner av begrepp som används däri (artikel 2). Enligt definitionerna avses med gemenskapsstatistik kvantitativ, aggregerad och representativ information som tas från insamlade och systematiskt bearbetade uppgifter som har framställts av nationella myndigheter och gemenskapsmyndigheten inom ramen för genomförandet av gemenskapens statistiska program. Med nationella myndigheter avses nationella statistiska institut och andra organ som är ansvariga i varje medlemsstat för att framställa gemenskapsstatistik. Gemenskapsmyndighet är den avdelning inom kommissionen, Eurostat, som är ansvarig för att genomföra de uppgifter som överflyttas till kommissionen med avseende på gemenskapsstatistik. Det kan här nämnas att Eurostat är ett eget generaldirektorat inom kommissionen.
Förordningens andra kapitel handlar om gemenskapens statistiska program. Rådet skall anta ett program om inriktningen, huvudområdena och målen för de åtgärder som planeras under högst fem år. Programmet skall utgöra ramen för framställningen av gemenskapsstatistik. Det kan här infogas att det senaste statistiska programmet avser åren 2003–2007 och fastställdes genom Europaparlamentets
och rådets beslut den 16 december 2002 nr 2367/2002. Vidare följer av förordningen (artikel 3.2) att gemenskapens statistiska program skall genomföras genom särskilda statistiska åtgärder som skall vara
a) antingen beslutade av rådet i enlighet med tillämpliga bestämmelser i fördraget, b) beslutade av kommissionen eller c) beslutade genom överenskommelser mellan de nationella myndigheterna och Eurostat inom deras respektive behörighetsområde.
När det gäller av kommissionen beslutade statistiska åtgärder enligt
b) krävs bl.a. att åtgärden inte får sträcka sig över mer än ett år och att de uppgifter som skall samlas in som huvudregel redan måste finnas tillgängliga eller åtkomliga hos de ansvariga nationella myndigheterna (artikel 6). När gemenskapsstatistik härrör från en överenskommelse mellan de nationella myndigheterna och gemenskapsmyndigheten enligt c) uppstår ingen skyldighet för uppgiftslämnarna, om inte någon sådan skyldighet föreskrivs i nationell lagstiftning (artikel 7). Som huvudregel gäller att ansvaret för att genomföra de särskilda statistikåtgärderna åligger de nationella myndigheterna om inget annat stadgas i en rättsakt från rådet (artikel 8).
I tredje kapitlet anges principer som skall styra gemenskapsstatistiken. Av intresse för den sekretessfråga som nu är i fråga är principen om förtrolighet med avseende på statistik. Enligt förordningen innebär principen skydd för uppgifter som hänför sig till enskilda statistiska objekt, vilka uppgifter erhålls direkt för statistiska ändamål eller indirekt från administrativa eller andra källor mot alla brott mot rätten till förtrolighet. Principen inbegriper hinder för ickestatistisk användning av erhållna uppgifter och olagligt röjande av uppgifter (artikel 10).
Kapitel fem (artikel 13–18) innehåller mer detaljerade bestämmelser om förtroliga uppgifter med avseende på statistik.
Inledningsvis sägs i artikel 13 att uppgifter som används av nationella myndigheter och gemenskapsmyndigheten för att framställa gemenskapsstatistik skall anses förtroliga när det är möjligt att identifiera statistiska objekt antingen direkt eller indirekt och därigenom röja särskild information. För att kunna avgöra om ett statistiskt objekt är identifierbart skall alla sätt som rimligen kan användas av tredje man för att identifiera nämnda statistiska objekt beaktas. Ett undantag från detta är att uppgifter som hämtas från källor som är tillgängliga för allmänheten inte skall anses förtroliga, förutsatt att de inte är förtroliga hos den nationella myndigheten enligt nationell lagstiftning. Sistnämnda fall gäller i Sverige, eftersom även uppgifter som är offentliga hos en myndighet blir sekretessbelagda på grund
av statistiksekretessen enligt 9 kap. 4 § sekretesslagen när de lämnas till en statistikansvarig myndighet för statistikändamål.
I artikel 15 anges att förtroliga uppgifter som erhållits enbart för framställning av gemenskapsstatistik skall användas av nationella myndigheter och gemenskapsmyndigheten enbart för statistiska ändamål, om inte uppgiftslämnarna otvetydigt har lämnat sitt samtycke till att uppgifterna används för andra ändamål. Den nationella myndigheten som är ansvarig för framställningen av dessa uppgifter kan dock enligt artikel 17 under vissa förutsättningar och för vetenskapliga syften bevilja tillgång till förtroliga uppgifter som erhållits för gemenskapsstatistik. Förutsättningarna är att den skyddsnivå som gäller i ursprungslandet (och om tillämpligt i användningslandet) är säkerställd enligt de bestämmelser som föreskrivs i artikel 18. I artikel 18.1 anges att nödvändiga rättsliga, administrativa, tekniska och organisatoriska åtgärder skall vidtas på nationell nivå och gemenskapsnivå för att säkerställa ett fysiskt och logiskt skydd för förtroliga uppgifter och för att säkerställa att inget olagligt röjande och ingen icke-statistisk användning förekommer när gemenskapsstatistik sprids.
Det kan observeras att artikel 17 inte anger att de förtroliga uppgifterna skall ha erhållits enbart för framställning av gemenskapsstatistik (jfr artikel 15). Vidare kan nämnas att de nationella myndigheterna enligt artikel 14 bara överför uppgifter till gemenskapsmyndigheten, Eurostat, som inte medger direkt identifiering.
I artikel 16.1 anges att, för att minska belastningen på uppgiftslämnarna och om inte annat följer av 16.2, de nationella myndigheterna och gemenskapsmyndigheten skall ha tillgång till administrativa uppgiftskällor, vart och ett inom sina egna offentliga förvaltningars verksamhetsområden, i den utsträckning som dessa uppgifter är nödvändiga för framställning av gemenskapsstatistik. Enligt 16.2 skall, när det är nödvändigt, de praktiska arrangemangen och begränsningarna och villkoren för att få faktisk tillgång till uppgifterna bestämmas av varje medlemsstat och kommissionen inom sitt respektive behörighetsområde. I 16.3 anges att de nationella myndigheternas eller gemenskapsmyndighetens användning av förtroliga uppgifter, som erhållits från administrativa eller andra källor för framställning av gemenskapsstatistik, inte skall påverka användningen av uppgifterna för de syften för vilka de ursprungligen insamlades.
Syftet med bestämmelserna i förordningen om skyddet för förtroliga uppgifter är enligt förordningens ingresspunkt 13 att vinna och behålla förtroendet från de parter som är ansvariga för att till-
handahålla denna information till de nationella myndigheterna eller gemenskapsmyndigheten.
I förordningens sjätte och sista kapitel finns vissa slutbestämmelser av vilka kan nämnas artikel 21 enligt vilken förordningen skall gälla utan att det påverkar dataskyddsdirektivet. Nämnas bör också artikel 22 enligt vilken även statistik som framställts på grundval av tidigare gemenskaprättsakter skall anses vara gemenskapsstatistik. Förordningen har således getts en retroaktiv verkan.
Vad som konkret utgör gemenskapsstatistik är inte så enkelt att fastställa. Det sammanhänger bl.a. med att innehållet i gemenskapsstatistiken på ett annat sätt än den svenska officiella statistiken varierar från en tid till en annan. I rättsakterna från EG formuleras dessutom snarare mål och inriktningar för gemenskapens statistikverksamhet än beslut om vilka uppgifter som skall ligga till grund för statistikframställningen. Såväl tidigare program som det nuvarande statistiska programmet upptar emellertid olika slags hälsoindikatorer såsom exempel på gemenskapsstatistik som bör tas fram. Inom Eurostat finns en särskild enhet för statistik om hälsa och livsmedelssäkerhet. Enheten ansvarar för statistik om bl.a. dödsorsaker, sjukvård, sjukdomar samt yrkesrelaterade olycksfall för att ta några exempel.
Våra överväganden
På sätt som belysts av Regeringsrätten i den ovan redovisade domen är det renodlade kvalitetssäkringsarbetet inte forskning i den mening som avses med forskning i 9 kap. 4 § sekretesslagen. Inte heller synes det vara en framkomlig väg att tillämpa bestämmelsens undantag för statistikändamål. Flertalet av de nationella och de regionala kvalitetsregistren sammanställer visserligen registerdata statistiskt i tabeller och diagram som i allt högre utsträckning redovisas offentligt. Statistiken gäller t.ex. användningen av olika behandlingsmetoder, behandlingsresultat, väntetider på operation eller annan behandling, upplevd patientnytta och överlevnad m.m. Statistiken redovisas på olika aggregerade nivåer bl.a. i de rapporter som ges ut varje år. Ett exempel är det Svenska kataraktregistret vari omkring 70 000 starroperationer registreras varje år. Uppgifter om alla dessa operationer analyseras och utvärderas på en aggregerad nivå i form av statistik. I detta register liksom beträffande många andra kvalitetsregister är statistikframställning ett nödvändigt moment i kvalitetsutvärderingen.
De uppgifter om t.ex. dödsorsak som kvalitetsregisterförare ofta efterfrågar, är avsedda att användas i framställning av statistik för överlevnadsfrekvens.
Som framskymtat i det föregående kan det ifrågasättas om tolkningen i praxis att det nämnda undantaget bara är tillämpligt beträffande mottagande myndigheter som själva är statistikansvariga myndigheter har stöd i bestämmelsens ordalydelse. Tolkningen stöds emellertid av uttalanden i tidigare redovisade förarbeten vid införandet av möjligheten att lämna ut uppgifter som behövs för statistikändamål (prop. 1994/95:200 s. 28 och 38, se ovan).
För det fall uppgifter skulle lämnas ut från Socialstyrelsens hälsodataregister och dödsorsaksregister till kvalitetsregisterförare, gäller onekligen ingen statistiksekretess hos kvalitetsregisterförarna utan enbart sekretess med ett omvänt skaderekvisit (7 kap. 1 c § sekretesslagen), vilket ger ett svagare skydd. Det ter sig därför inte möjligt att se annorlunda på undantaget för statistikändamål när det gäller statistikframställning i nationella och regionala kvalitetsregister än vad Regeringsrätten fann i sin ovan refererade dom avseende en lokalt bedriven kvalitetssäkring.
Kvalitetssäkring av hälso- och sjukvården är emellertid en angelägen uppgift. Det finns ett påtagligt allmänt intresse av att sådan verksamhet kan bedrivas på ett ändamålsenligt sätt. Mot bakgrund av vad som framkommit i vår kartläggning av kvalitetsregisterföringen bedömer vi att tillgång till personnummerbaserade uppgifter från Socialstyrelsens hälsodataregister och dödsorsaksregister har stor betydelse för flera av de nationella och regionala kvalitetsregisterförarnas strävan att generera användbara kunskaper för kvalitetssäkringsarbetet. Det kan vidare observeras att ändamålet med den av kvalitetsregisterförarna önskade personuppgiftshanteringen överensstämmer med lagstiftarens ändamål med hälsodataregistren. Ett av ändamålen med hälsodataregistren anges vara just kvalitetssäkring av hälso- och sjukvård, se 3 § 2 hälsodataregisterlagen. Personuppgiftsbehandling genom samkörning av Socialstyrelsens hälsodataregister med ett kvalitetsregister är således väl förenlig med hälsodataregisterlagens ändamålsreglering. En utvidgning av undantagen från den absoluta sekretessen i 9 kap. 4 § sekretesslagen bör därför övervägas. Frågan är därvid om intresset av att kvalitetsregisterförare skall kunna få tillgång till sekretessbelagda uppgifter från hälsodataregister och dödsorsaksregistret väger tyngre än de intressen som motiverar den starka sekretess som gäller för uppgifterna i registren.
Den absoluta statistiksekretessen har bl.a. motiverats med att intresset av allmän insyn i det statistiska primärmaterialet är förhållandevis svagt medan integritetsintresset däremot är påtagligt. Som ytterligare skäl för den långtgående sekretessen har anförts att statistikkvaliteten kan bli dålig, om inte den enskilde uppgiftslämnaren är säker på att hans uppgifter inte kommer ut (se prop. 1979/80:2 Del A s. 262).
I vårt arbete har det framkommit att det i synnerhet är uppgift om dödsorsak som efterfrågas av kvalitetsregisterförare. Uppgiften är av direkt betydelse för långtidsuppföljningen av vårdkvaliteten såsom mått på överlevnad efter genomgången behandling. Behovet av uppgifter från Socialstyrelsens hälsodataregister synes däremot inte vara lika omfattande och syftar inte alltid till att användas i det direkta kvalitetssäkringsarbetet. Önskemålet om samkörning med t.ex. patientregistret sammanhänger ofta med behovet att kontrollera ett kvalitetsregisters täckningsgrad eller kvaliteten i registrerade uppgifter. Man kan därför säga att samkörningen i dessa fall har indirekt betydelse för kvalitetsuppföljningen. Vidare bedömer vi att det ibland finns möjligheter att tillgodose detta sistnämnda behov genom att kvalitetsregisteruppgifter lämnas ut till Socialstyrelsen för att samköras av EpC med ett hälsodataregister. Därvid kan uppgift om t.ex. täckningsgrad fås fram utan att personuppgifter lämnas ut från hälsodataregister till kvalitetsregisterförare. Mot bakgrund av det sagda anser vi inte att det finns tillräckliga skäl att föreslå en ändring av bestämmelsen om statistiksekretess för att möjliggöra utlämnande av uppgifter från hälsodataregister till kvalitetsregisterförare.
Däremot bedömer vi att det allmänna intresset av att göra undantag från statistiksekretessen för uppgifter i dödsorsaksregistret är betydligt starkare än när det gäller uppgifter i hälsodataregister. Vi menar dessutom att uppgifter om avlidnas personliga förhållanden normalt sett är mindre integritetskänsliga än uppgifter om levande personers motsvarande personliga förhållanden. Det behov som finns av samkörning av kvalitetsregister med dödsorsaksregistret torde kunna ske utan beaktansvärda intrång i avlidnas skydd för uppgifter om sina personliga förhållanden eller i de efterlevandes skydd. Vi föreslår därför att det införs ett undantag i 9 kap. 4 § sekretesslagen för uppgifter om avlidna som behövs för kvalitetssäkring av hälso- och sjukvård som bedrivs genom ett nationellt eller regionalt kvalitetsregister. Därigenom möjliggörs den samkörning mellan nationella och regionala kvalitetsregister med utlämnande uppgifter från Socialstyrelsens dödsorsaksregister som vi anser att övervägande skäl
talar för bör få ske. Enligt vår mening är det inte lämpligt att göra undantaget mer vittgående, såsom t.ex. att gälla för all kvalitetssäkring av hälso- och sjukvård, dvs. även sådan som bedrivs inom ramen för en vårdgivares verksamhet i eller utanför ett lokalt kvalitetsregister.
Med tanke på den i det föregående redovisade ändringen år 2001 i 9 kap. 4 § sekretesslagen uppkommer givetvis frågan om vårt förslag är förenligt med EG-förordningen om gemenskapsstatistik, närmare bestämt förordningens bestämmelser om att förtroliga uppgifter bara får användas för statistiska och vetenskapliga ändamål (artiklarna 15 och 17). Förutom att vara direkt tillämplig i Sverige, är förordningen överordnad vår nationella lagstiftning i händelse av en regelkollision. I denna fråga gör vi följande bedömning.
Socialstyrelsen levererar enligt uppgift avidentifierat material från dödsorsaksregistret till Eurostat. Enligt information från SCB fanns i vart fall år 1997 en överenskommelse med Eurostat såvitt avser dödsorsaksregistret (jfr EG-förordningen artikel 3.2 c). Det kan här erinras om att EG-förordningen föreskriver att de nationella myndigheterna endast skall leverera förtroliga uppgifter som inte medger direkt identifiering. Det sagda torde innebära att dödsorsaksregistret i vart fall delvis omfattas av EG-förordningens tillämpningsområde. I Lagrådets yttrande till förslaget om att anpassa 9 kap. 4 § sekretesslagen till EG-förordningen anmärktes bl.a. att det vid föredragningen upplysts att det av praktiska skäl inte är möjligt att göra skillnad mellan uppgifter som hänför sig till gemenskapsstatistik och andra uppgifter som hänför sig till framställningen av officiell statistik (prop. 2000/01:27 s. 99).
Syftet med ändringen i 9 kap. 4 § sekretesslagen var – bl.a. i fråga om upphävandet av undantaget från den absoluta sekretessen för uppgifter om avlidna – att anpassa sekretesslagen till EG-förordningen för att undvika tillämpningsproblem (a. prop. s. 57). Något klart uttalande huruvida, och i så fall i vilket avseende, det borttagna undantaget för uppgifter om avlidna stod i strid mot EG-förordningen finns emellertid inte i förarbetena till lagändringen.
Registrering av dödsorsaker har en lång historik i vårt land. Det nuvarande dödsorsaksregistret innehåller data från år 1952 och framåt. Årligen rapporteras omkring 90 000 inträffade dödsfall till registret. Någon registerförfattning finns inte beträffande registret. Eftersom registret inte innehåller några personuppgifter, omfattas registret inte av personuppgiftslagens bestämmelser eller lagens om den officiella statistiken bestämmelser om behandling av personuppgifter.
Syftet med registret är att ge underlag till den officiella dödsorsaksstatistiken och tillhandahålla data om den orsaksspecifika dödligheten för beskrivningar av befolkningens hälsa, bland annat som underlag för det förebyggande arbetet inom hälso- och sjukvården, för uppföljning och utvärdering av olika insatser inom hälso- och sjukvården och för forskningen.
Registrets syften är alltså flera än att framställa officiell statistik eller att tillhandahålla uppgifter till gemenskapsstatistiken. Mot denna bakgrund anser vi att dödsorsaksregistret visserligen delvis ingår i gemenskapsstatistiken men att registret därutöver är en sådan administrativ uppgiftskälla som avses i artikel 16 i EG-förordningen. I artikel 16.1 anges bl.a. att de nationella myndigheterna och gemenskapsmyndigheten skall – för att minska belastningen på uppgiftslämnarna – ha tillgång till administrativa uppgiftskällor, vart och ett inom sina egna offentliga förvaltningars verksamhetsområden, i den utsträckning som dessa uppgifter är nödvändiga för framställningen av gemenskapsstatistik. Enligt artikel 16.3 skall de nationella myndigheternas användning av förtroliga uppgifter som erhållits från administrativa eller andra källor för framställning av gemenskapsstatistik inte påverka användningen av uppgifterna för de syften för vilka de ursprungligen insamlades.
Vi menar att tillhandahållande av data till nationella och regionala kvalitetsregister för uppföljning och utvärdering av olika insatser inom hälso- och sjukvården är att se som ett ursprungligt syfte med dödsorsaksregistret. Den föreslagna ändringen i sekretesslagen för att tillåta detta uppgiftslämnande (efter en skadeprövning enligt ett omvänt skaderekvisit) strider därför inte mot EG-förordningens bestämmelser om när förtroliga uppgifter får lämnas ut.
Sammanfattningsvis föreslår vi således att bestämmelsen om statistiksekretess ändras på så sätt att ett ytterligare undantag från den absoluta sekretessen införs. Undantaget avser att uppgifter om avlidna som rör dödsorsak eller dödsdatum skall kunna lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Den föreslagna utvidgningen är således inte en återgång till vad som gällde avseende uppgifter om avlidna före lagändringen år 2001. Utvidgningen ger ett väsentligen mindre utrymme för att lämna ut uppgifter med tanke på det inskränkta användningsändamål som föreskrivs enligt vårt förslag.
Med tanke bl.a. på att uppgifterna hos mottagarna kommer att omfattas av hälso- och sjukvårdssekretessens omvända skaderekvisit bör, enligt vår uppfattning, Socialstyrelsens sekretessprövning enligt den föreslagna bestämmelsen ofta kunna utmynna i bedömningen att begärda uppgifter om dödsorsak och dödsdatum kan lämnas ut.
16.6. Internationellt samarbete
Vår bedömning: Det behövs inga särskilda bestämmelser om utbyte av personuppgifter vid kvalitetsregisterföring som har internationell räckvidd.
I våra första tilläggsdirektiv (dir. 2004:95) har vi getts uppdraget att se över frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifterna i kvalitetsregistren. Vid behov skall vi lämna förslag till bestämmelser om detta.
Enligt direktiven sker ett ökat utbyte mellan kvalitetsregister i Sverige och kvalitetsregister som förs inom hälso- och sjukvård utomlands. Vår genomgång på området har emellertid visat att det utbyte som sker och som syftar till att utveckla och säkra vårdens kvalitet är av mycket begränsad omfattning. Såvitt framkommit handlar det i allt väsentligt om att svenska kvalitetsregisters framgångar rönt internationellt intresse. Det har i sin tur utmynnat i att en del internationella kvalitetsregister drivs och administreras i Sverige och till vilka vårdgivare i andra länder inrapporterar individbundna personuppgifter. Kompetenscentrumet Eyenet Sweden driver t.ex. register för refraktiv kirurgi och för kataraktkirurgi. Till dessa register inrapporteras uppgifter från ögonspecialister spridda över olika världsdelar, dock främst från Europa. Kompetenscentrumet Uppsala Clinical researchcenter driver SITS International, ett register över trombolysbehandling vid stroke. Även detta register mottar och behandlar personuppgifter inrapporterade från vårdgivare i andra länder inom och utom Europa. Det förekommer därutöver några svenska kvalitetsregister som samarbetar med och mottar eller planerar att motta uppgifter från andra europeiska länder.
Något motsvarande utflöde av personuppgifter till kvalitetsregister som drivs utanför Sverige har vi inte kunnat identifiera i vårt arbete. Under alla förhållanden har vi inte stött på några rättsliga problem i samband med internationellt samarbete i kvalitetsregisterarbetet. Som
vi ser det har det alltså inte framkommit något behov av författningsreglering i detta avseende varken från sekretessynpunkt eller i fråga om reglering som bör tas in i patientdatalagen. Vi föreslår därför inga särskilda bestämmelser på detta område. Det innebär att de allmänna bestämmelserna i patientdatalagen och i personuppgiftslagen är tillämpliga i förening med sekretesslagens reglering för det fall personuppgifter, som behandlas enligt patientdatalagen, skall rapporteras till ett kvalitetsregister som förs utanför Sverige eller vari personuppgifterna på annat sätt görs tillgängliga utomlands. Vilka bestämmelser som i första hand är tillämpliga vid ett sådant fall redovisas i det följande.
Inledningsvis kan nämnas att det i personuppgiftslagen inte görs någon skillnad mellan utlämnande av personuppgifter till en extern mottagare i Sverige och utlämnande av personuppgifter till mottagare i ett annat land inom EU eller ett land som är ansluten till EES förutsatt att personuppgiftsbehandlingen som sådan är tillåten enligt lagen. Det sagda är ett genomförande av det bakomliggande dataskyddsdirektivets ena syfte att åstadkomma ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Däremot finns särskilda begränsningar i 33–35 §§personuppgiftslagen när det gäller spridning av personuppgifter till tredje land. Med tredje land avses enligt 3 § personuppgiftslagen en stat som inte ingår i EU eller är ansluten till EES. För personuppgiftsbehandlingen genom utlämnande till ett internationellt kvalitetsregister är det alltså av avgörande betydelse i vilket land mottagarregistret sköts.
Enligt 33 § personuppgiftslagen gäller ett principiellt förbud mot att till tredje land föra över personuppgifter som är under behandling eller skall behandlas i tredje land, om inte det aktuella landet har en adekvat skyddsnivå för uppgifterna. Vid bedömningen av om skyddsnivån är adekvat skall särskild vikt läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmandelandet och de regler som finns för behandlingen i det tredje landet. Med att personuppgifter är under behandling avses att de är föremål för sådan behandling som omfattas av personuppgiftslagen, dvs. behandling som är helt eller delvis automatiserad eller som sker manuellt i register. Förbudet träffar också personuppgifter som förs över i syfte att de i tredje land skall undergå sådan behandling.
Eftersom alla uppgifter som av någon kan knytas till en enskild individ som är i livet anses utgöra personuppgifter, torde förbudet
också omfatta överföring av kodade personuppgifter till en mottagare i tredje land även om kodnyckeln inte förs över eller på annat sätt görs åtkomlig för mottagaren, se Datalagkommitténs bedömning att det inte krävs att en personuppgiftsansvarig själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig (SOU 1997:39 s. 338). Det kan här nämnas att i Storbritannien har man tolkat dataskyddsdirektivet på ett annat sätt än i Sverige, nämligen att det för att en uppgift skall utgöra en personuppgift, krävs att personen skall kunna identifieras med hjälp av de registrerade uppgifterna och annan information som en personuppgiftsansvarig har eller sannolikt kan komma att få tillgång till. Såvitt vi känner till har frågan inte avgjorts i någon vägledande domstolspraxis.
Vissa undantag från förbudet i 33 § finns angivna i 34 § personuppgiftslagen. Enligt denna bestämmelse får personuppgifter överföras till tredje land, om den registrerade har lämnat sitt samtycke till överföringen. Det krävs inte att samtycket är uttryckligt men det skall vara otvetydigt. Överföring får därutöver ske om den är nödvändig för vissa särskilt uppräknade syften. Dessa syften torde sakna tillämpning vid internationellt samarbete för kvalitetsregistrering. Personuppgifter får dessutom överföras utan samtycke för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
Därutöver får regeringen, eller den myndighet som regeringen bestämmer, meddela ytterligare undantag från förbudet i 33 § i vissa fall som anges i 35 § personuppgiftslagen. Undantag får därvid bl.a. föreskrivas för överföring till vissa stater eller om överföring till tredje land behövs med hänsyn till ett viktigt allmänt intresse. Undantag har bl.a. gjorts i fråga om överföring till Argentina, Kanada, Schweiz och USA, se bilaga 1 till personuppgiftsförordningen (1998:1191). I övrigt har Datainspektionen, genom vidaredelegation från regeringen, getts möjligheter att meddela ytterligare undantag från förbudet. Dessa undantag kan vara generella eller avse enskilda fall.
Ett uppgiftsutlämnande från Sverige till ett internationellt kvalitetsregister utomlands får givetvis inte heller strida mot sekretesslagen.
Enligt 1 kap. 3 § tredje stycket sekretesslagen får sekretessbelagd uppgift lämnas ut till utländsk myndighet eller mellanfolklig organisation, endast om utlämnandet sker i enlighet med särskild föreskrift om det i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnan-
de myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen. Utlämnande till utländsk enskild, t.ex. ett privaträttsligt organ, är inte särreglerat i sekretesslagen.
Vilket utrymme sekretesslagen ger att lämna ut personuppgifter om patienter till ett kvalitetsregister som förs utanför Sverige kan inte besvaras generellt. Rör det sig om uppgifter som direkt eller utan långtgående efterforskningar kan hänföras till den enskilde av mottagaren utomlands, torde utrymmet vara mycket litet. Handlar det däremot om kodade personuppgifter där kodnyckel bevaras i säkert förvar i Sverige, torde situationen vara annan och utrymmet väsentligen större.
17. Patientuppgifter och forskning inom hälso- och sjukvårdsområdet
17.1. Inledning
I vårt uppdrag ingår att överväga för vilka ändamål personuppgifter skall få behandlas inom hälso- och sjukvården. Vi har i avsnitt 8.2 redogjort för våra överväganden och förslag i fråga om patientdatalagens ändamålsbestämning. I detta avsnitt behandlar vi frågor som rör användningen av journaluppgifter och andra uppgifter om patienter i hälso- och sjukvårdens individinriktade verksamhet för medicinsk forskning och annan forskning inom hälso- och sjukvårdsområdet. Vi berör även frågan om sammanhållen journalföring och sådan forskning.
17.2. Medicinsk forskning m.m.
Medicinsk forskning omfattar forskning inom områdena medicin, odontologi, farmaci och vårdvetenskap. Många gånger räknas även områden inom biovetenskaperna, t.ex. biokemi, biofysik, cell- och molekylärbiologi och bioteknik, till den medicinska forskningen. Begreppen grundforskning respektive tillämpad forskning används oftast inte inom det medicinska området, mycket på grund av att det är svårt att dra en skarp gräns. Ett sätt att kategorisera medicinsk forskning är i stället att använda uttrycken preklinisk respektive klinisk forskning för att skilja mellan i huvudsak experimentell forskning som till stor del utförs på laboratorier (preklinisk) respektive forskning som i huvudsak utförs i anslutning till vården (klinisk). Vidare används begreppet patientnära forskning för att beskriva forskning om sjukdomsproblem som sker i nära kontakt med patienter.
Huvudansvaret för forskningen åvilar staten. En stor del av den statligt finansierade forskningen bedrivs inom universitetsvärlden. De medicinska fakulteterna finansieras med statliga anslag, offentliga eller privata externa medel eller som uppdragsforskning. Sjukvårds-
huvudmännen har likaså ett betydande ansvar för den kliniska forskningen, som bedrivs med hjälp av både de av staten erhållna ALFmedlen (se vidare nedan) och egna medel.
Sjukvårdshuvudmännens ansvar för klinisk forskning framgår av 26 b § hälso- och sjukvårdslagen (1982:763). I bestämmelsen anges att landstingen och kommunerna skall medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt forskningsarbete. Landstingen och kommunerna skall i dessa frågor, i den omfattning som behövs, samverka med varandra samt med berörda universitet och högskolor.
ALF-avtalet är ett avtal träffat mellan svenska staten och vissa landsting rörande samarbete om grundutbildningen av läkare, medicinsk forskning och utveckling av hälso- och sjukvården. Genom detta avtal regleras förhållandet mellan staten och de landsting som upplåter sin verksamhet för de medicinska fakulteternas forskning och läkarutbildning. Syftet är att reglera de kostnader som genereras hos sjukvårdshuvudmännen för klinisk forskning och utbildning. De landsting som har ett ALF-avtal med staten driver regionsjukhus som upplåts för de medicinska fakulteternas kliniska verksamhet, vanligtvis kallade universitetssjukhus. Ett centralt inslag i verksamheten vid dessa sjukhus är kombinationstjänster, där professorer och lektorer i kliniska ämnen är förordnade och avlönade som överläkare i landstingens organisation.
Det bedrivs även annan forskning inom hälso- och sjukvården. Exempel härpå är hälso- och sjukvårdsforskningen, vilken är inriktad på att beskriva, analysera och värdera hälso- och sjukvårdssystemets organisation, funktion och resultat, och den hälsoekonomiska forskningen, som har sin tonvikt på kostnads-, nytto- och kostnadseffektanalyser inom hälso- och sjukvården.
I lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) definieras begreppet forskning som ”vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund”. Enligt lagens förarbeten (prop. 2002/03:50 s. 192) är avsikten att forskningsbegreppet enligt etikprövningslagen bl.a. skall omfatta allt det som omfattas av motsvarande begrepp enligt 19 § personuppgiftslagen (1998:204).
I nämnda proposition togs gränsdragningsfrågan mellan vetenskaplig forskning samt kvalitetssäkring och resultatuppföljning upp. Lagförslaget i propositionen tog sikte på vetenskaplig forskning.
Som riktlinje för den avgränsning som behövde göras angavs följande (a. prop. s. 91).
Enligt 31 § hälso- och sjukvårdslagen (1982:763) skall kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande utvecklas och säkras. Denna och liknande typer av verksamheter skall inte omfattas av etikprövning enligt det nu föreslagna lagförslaget. De etiska avvägningar som kan behöva göras inom myndigheters verksamhet med annat än forskning får utredas i annan ordning om behov därav anses påkallat. Ibland ingår vetenskapligt utvecklingsarbete i myndigheternas arbete med uppföljning osv. Om syftet med det vetenskapliga utvecklingsarbetet är myndighetsinternt utvärderingsarbete, bör sådant utvecklingsarbete inte omfattas av etikprövning enligt den föreslagna lagen. Avgörande av ett projekts karaktär måste givetvis ske från fall till fall, och ovan angivna riktlinjer bör kunna vara till ledning vid denna bedömning.
Etikprövningsutredningen, som haft i uppdrag att se över vissa frågor i etikprövningslagen, har i sitt betänkande Etikprövningslagstiftningen – vissa ändringsförslag (SOU 2005:78) föreslagit att definitionen av begreppet forskning förtydligas på så sätt att det klart framgår att med forskning avses vetenskapligt systematiskt sökande efter ny kunskap. Enligt betänkandet kommer definitionen därigenom att omfatta såväl grundforskning och tillämpad forskning som utvecklingsarbete. Vanligt uppföljnings- och kvalitetssäkringsarbete kommer däremot inte att omfattas av forskningsbegreppet. Det finns dock situationer där arbetet utförs på ett kvalificerat vetenskapligt sätt och därmed faller in under begreppet forskning (a. bet. s. 141).
Även om Etikprövningsutredningens förslag genomförs kommer det, enligt vår uppfattning, också framöver finnas vissa gränsdragningssvårigheter mellan forskning och kvalitetssäkring. Dessa får ytterst lösas genom Centrala etikprövningsnämndens praxis.
Frågor kring etikprövning av registerforskning, forskares möjlighet att få tillgång till personuppgifter och integritetsskyddet i forskningen har behandlats i olika artiklar i Förvaltningsrättslig tidskrift (FT). Se von Essen, ”Etikprövning av biobanks- och registerforskning” i FT 2002 s. 351–380, Rynning, ”Patientuppgifter som forskningsresurs – om integritetsskydd och intresseavvägningar” i FT 2003, s. 96–126, von Essen, ”Biobanksforskning – forskares möjligheter att få tillgång till vävnadsmaterial och personuppgifter” i FT 2003, s. 197–214, och Rynning, ”Integritetsskyddet i forskningen – en känslig historia” i FT 2005, s. 459–486.
17.3. Dagens reglering
17.3.1. Bestämmelser om personuppgiftsbehandling
I de fall journaluppgifter och andra uppgifter om patienter i hälso- och sjukvårdens individinriktade verksamhet behandlas automatiserat är bestämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagen tillämpliga.
Vårdregisterlagen innehåller två bestämmelser som anger för vilka ändamål personuppgifter i ett vårdregister får behandlas. Enligt 3 § får sådana personuppgifter behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall. Enligt 4 § får personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning. Behandlingen får ske oavsett vilken inställning den registrerade har till denna (prop. 1997/98:108 s. 67).
Vårdregisterlagens ändamålsbestämmelser nämner således inte forskning. Detta behöver dock inte innebära att personuppgifter i ett vårdregister inte får behandlas för forskningsändamål.
Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen).
I 9 § personuppgiftslagen anges de grundläggande krav på behandlingen av personuppgifter som den personuppgiftsansvarige måste uppfylla. Enligt punkten d i den nämnda paragrafens första stycke – den s.k. finalitetsprincipen – skall den personuppgiftsansvarige se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. I fråga om efterkommande behandlingar sägs dock i andra stycket samma paragraf att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter som samlats in i det individinriktade vårdarbetet och registrerats i ett vårdregister kan således få behandlas för forskningsändamål.
Personuppgifter som rör hälsa utgör emellertid känsliga personuppgifter enligt personuppgiftslagens definition (13 §). Enligt nämnda bestämmelse är det förbjudet att behandla sådana personuppgifter. Trots detta förbud är det enligt 15 § tillåtet att behandla sådana personuppgifter om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Vidare får enligt 19 § känsliga personuppgifter behandlas utan samtycke för forskningsändamål om behandlingen godkänts enligt etikprövningslagen.
Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor (1 §). Lagen är tillämplig på forskning som bl.a. innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen, om forskningspersonen inte har lämnat sitt uttryckliga samtycke till behandlingen (3 §). Etikprövningsutredningen har föreslagit att lagen skall utvidgas till att omfatta krav på etikprövning vid all behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen, oavsett om forskningspersonen lämnat sitt uttryckliga samtycke eller inte.
I etikprövningslagen föreskrivs att forskning rörande känsliga personuppgifter får utföras bara om den har godkänts vid en etikprövning (6 §). Lagen anger de allmänna utgångspunkterna för etikprövningen (7–11 §§). Dessa utgångspunkter är bl.a. följande. Forskning får godkännas bara om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd skall ges företräde framför samhällets och vetenskapens behov. Behandling av känsliga personuppgifter får godkännas bara om den är nödvändig för att forskningen skall kunna utföras. Risken för intrång i forskningspersonernas personliga integritet skall uppvägas av forskningens vetenskapliga värde. Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.
Prövningen görs av regionala etikprövningsnämnder. Den regionala nämndens beslut kan överklagas av sökanden, om beslutet har gått sökanden emot. Om en regional nämnd vid överläggning är oenig om utgången av etikprövningen, kan en minoritet inom nämnden begära att ärendet skall överlämnas till nästa instans för avgörande. Överklagande eller överlämnande skall ske till Centrala etikprövningsnämnden.
Vid sidan av prövning av den forskning som enligt lagen måste godkännas av en etikprövningsnämnd innan forskningsarbetet får påbörjas, har nämnderna möjlighet att lämna s.k. rådgivande yttranden över ansökningar om annan forskning som avser människor. Denna möjlighet till frivillig prövning regleras i 2 och 3 §§ förordningen (2003:616) med instruktion för regionala etikprövningsnämnder. Anledningen till att en sådan möjlighet att göra etikprövning har införts är att det i många fall krävs ett skriftligt yttrande som motsvarar en forskningsetisk prövning av en forskningsplan för att forskningsprojektet skall kunna beviljas finansiering och för att resultaten av forskningsarbetet skall kunna publiceras i en vetenskaplig tidskrift. För att ge prövningen en ökad tyngd har etikprövningsutredningen föreslagit att bestämmelserna om rådgivande yttranden skall tas in i etikprövningslagen under benämningen frivillig prövning.
Ett forskningsprojekt som faller in under etikprövningslagen prövas vid ett tillfälle av en etikprövningsnämnd. Sedan tillstånd lämnats sker inte någon ytterligare prövning om det inte blir fråga om en ändring i forskningsprojektet. Etikprövningsutredningen har föreslagit att den frivilliga prövningen skall kunna avse även bekräftelse av ett tidigare lämnat godkännande. Utländska finansiärer av forskningsprojekt ställer nämligen ibland som krav att projektet genomgår etisk granskning minst en gång per år.
I de fall journaluppgifter och andra patientuppgifter i hälso- och sjukvårdens individinriktade verksamhet behandlas manuellt är vårdregisterlagen inte tillämplig. Däremot kan de tidigare nämnda bestämmelserna i personuppgiftslagen vara tillämpliga. Personuppgiftslagen gäller nämligen inte bara för sådan behandling av personuppgifter som är helt eller delvis automatiserad, utan även för manuell behandling under vissa förutsättningar, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. i ett register (5 § andra stycket).
17.3.2. Bestämmelser om sekretess och tystnadsplikt
Även om bestämmelserna om personuppgiftsbehandling medger att journaluppgifter och andra patientuppgifter behandlas för forskningsändamål innebär inte detta att eventuella sekretesshinder undanröjs.
Uppgifter inom den allmänna hälso- och sjukvården omfattas av bestämmelserna i sekretesslagen (1980:100). (För en mera utförlig redovisning av bestämmelserna, se avsnitt 11.5.)
Sekretess gäller i förhållande till såväl enskilda (fysiska eller juridiska personer) som andra myndigheter. Uppgifter som skyddas av sekretess kan inte lämnas från en myndighet till en enskild eller annan myndighet utan stöd i sekretesslagen. Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra. Forskning anses inte tillhöra samma verksamhetsgren som den egentliga vården (prop. 1979/80:2 Del A s. 172). Ett genomförande av Offentlighets- och sekretesskommitténs (OSEK) förslag (se avsnitt 11.5.2) skulle inte påverka denna bedömning.
Enligt 7 kap. 1 c § första stycket sekretesslagen gäller sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om enskilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom eller henne närstående lider men. Sekretessen gäller därmed med ett omvänt skaderekvisit och presumtionen är alltså för sekretess. I vilka fall en uppgift kan lämnas ut måste avgöras efter en skadeprövning från fall till fall. Leder en skadeprövning till bedömningen att uppgiften kan lämnas ut utan risk för men, är en allmän vårdgivare skyldig att lämna ut uppgiften. Är mottagaren en forskare vid t.ex. ett universitet eller liknande forskningsmyndighet, följer sekretessen enligt 7 kap. 1 c § sekretesslagen normalt med uppgiften enligt 13 kap. 3 § sekretesslagen. Hälso- och sjukvårdssekretessen gäller således även hos en mottagande forskningsmyndighet, om inte en annan primär sekretessbestämmelse i stället är tillämplig på uppgifterna hos forskningsmyndigheten.
I 7 kap. 1 c § sista stycket första meningen sekretesslagen finns vidare ett undantag från den annars gällande presumtionen för sekretess. Där föreskrivs att en myndighet inom ett landsting eller en kommun som bedriver hälso- och sjukvård får lämna uppgifter till en annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet med tillämpning av ett rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. För sekretess skall det kunna antas att den enskilde eller dennes närstående lider men om uppgiften röjs.
Det raka skaderekvisitet i 7 kap. 1 c § sista stycket första meningen sekretesslagen gäller även vid uppgiftslämnande mellan självständiga verksamhetsgrenar inom hälso- och sjukvårdsmyndigheter hos ett landsting eller en kommun. Det gäller däremot inte vid uppgiftsutlämnande från en hälso- och sjukvårdsmyndighet till enskilda eller till myndigheter som inte bedriver hälso- och sjukvård.
I sekretesslagen finns några särskilda undantagsbestämmelser som innebär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Av dess undantagsbestämmelser kan nämnas bestämmelsen i 14 kap. 4 § sekretesslagen som innebär att den enskilde helt eller delvis kan efterge sekretess som gäller till skydd för den enskilde. En patient kan alltså samtycka till att uppgifter om honom eller henne används för forskningsändamål.
Ett annat undantag som medför att uppgifter kan lämnas ut trots sekretess regleras i 14 kap. 9 § sekretesslagen. Av den bestämmelsen följer att uppgifter kan lämnas till enskild forskare som bedriver sin forskning fristående från någon offentlig högskola eller annan myndighet eller en forskare som tillhör ett privat forskningsinstitut, om risken för men undanröjs genom att forskaren åläggs tystnadsplikt m.m. i ett särskilt förbehåll.
Uppgifter inom den enskilda hälso- och sjukvården omfattas av bestämmelserna om tystnadsplikt i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Enligt 2 kap. 8 § nämnda lag får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i sekretesslagens bestämmelser.
Bestämmelser om hanteringen av journaluppgifter och andra uppgifter om patienter inom en vårdgivares verksamhet finns i patientjournallagen (1985:562) och vårdregisterlagen. Bestämmelserna gäller både i den allmänna och den enskilda hälso- och sjukvården.
I 7 § första stycket patientjournallagen föreskrivs att varje journalhandling skall hanteras och förvaras så, att obehöriga inte får tillgång till den. Bestämmelsen behandlar den inre sekretessen och innebär att journaler inte får vara fritt tillgängliga inom en vårdgivares verksamhet. I förarbetena uttalas att det vid vården av en patient på t.ex. en klinik endast är en begränsad del av personalen som i sitt arbete
behöver tillgång till patientens journal. Respekten för patientens integritet kräver att ingen utanför denna krets för tillgång till journalen (prop. 1984/85:189 s. 43).
Enligt 8 § vårdregisterlagen får endast den som för de ändamål som anges i 3 och 4 §§ behöver tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Enligt förarbetena är bestämmelsen om direktåtkomst tänkt att motsvara innehållet i 7 § patientjournallagen (prop. 1997/98:108 s. 99). Som nämnts tidigare ingår inte forskning bland de ändamål som anges i 3 och 4 §§ vårdregisterlagen.
Sammanfattningsvis kan konstateras att journaluppgifter och andra patientuppgifter inte utan föregående sekretessprövning får lämnas ut och användas i forskning, oavsett om forskningen bedrivs utanför hälso- och sjukvården eller som en självständig verksamhetsgren inom hälso- och sjukvården. Även vid forskning som bedrivs av hälso- och sjukvårdspersonalen i samband med vård och behandling av patienter krävs alltså att en sekretessprövning har gjorts för att journaluppgifter och andra patientuppgifter som samlas in i vårdarbetet skall få användas i forskningen. Om forskningshuvudmannen är densamma som sjukvårdshuvudmannen gäller sekretess med ett rakt skaderekvisit. Är forskningshuvudmannen däremot t.ex. ett universitet gäller det omvända skaderekvisitet.
17.4. Våra överväganden
17.4.1. Ändamål
Vår bedömning: Journaluppgifter och andra patientuppgifter som samlas in i hälso- och sjukvårdens individinriktade verksamhet bör även fortsättningsvis få behandlas för forskningsändamål under de förutsättningar som gäller i dag.
Som framgått tidigare är det i dag tillåtet att behandla journaluppgifter och andra patientuppgifter som samlats in i hälso- och sjukvårdens individinriktade verksamhet för forskningsändamål om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller om behandlingen har godkänts enligt etikprövningslagen. Därutöver krävs att en sekretessprövning har gjorts innan uppgifterna
lämnas ut och används för forskning. Detta gäller oavsett om forskningen bedrivs inom vårdgivarens egna verksamhet eller inte.
Journaluppgifter och andra patientuppgifter som samlas in i hälso- och sjukvårdens individinriktade verksamhet utgör sedan länge en viktig del av forskningens inom hälso- och sjukvården källmaterial. Det har inte framkommit något som ger oss anledning att inskränka dagens möjligheter att behandla sådana uppgifter för forskningsändamål. Personuppgiftsbehandlingen bör således även fortsättningsvis vara tillåten under de förutsättningar som gäller i dag. Våra tidigare förslag (se avsnitt 7.3.2) innebär att detta även fortsättningsvis kommer att regleras av personuppgiftslagen och etikprövningslagen. Några regler härom har således inte tagits in i patientdatalagen. I den lagen har dock en hänvisning gjorts till finalitetsprincipen i personuppgiftslagen.
I de fall forskningen bedrivs integrerat med vården av patienter kommer patientdatalagen att vara tillämplig beträffande den personuppgiftsbehandling som rör vården, t.ex. i fråga om journalföringen.
17.4.2. Direktåtkomst till uppgifter vid sammanhållen journalföring för forskningsändamål
Vår bedömning: Vårdgivare som deltar i sammanhållen journalföring bör inte få direktåtkomst till varandras patientuppgifter för forskningsändamål. Däremot bör det, liksom i dag, vara tillåtet att efter prövning i det enskilda fallet lämna ut patientuppgifterna på medium för automatiserad behandling, t.ex. på cd-rom, för forskningsändamål.
Vi har i avsnitt 8.7 föreslagit att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara skall få förekomma i den utsträckning som anges i lag eller förordning. (För en redovisning av vad vi menar med begreppet direktåtkomst hänvisas till det nämnda avsnittet.)
I avsnitt 11 har vi föreslagit att det i patientdatalagen tas in bestämmelse som tillåter direktåtkomst för sammanhållen journalföring under vissa förutsättningar.
Våra förslag i fråga om sammanhållen journalföring innebär att en vårdgivares vårddokumentation beträffande en patient får göras tekniskt tillgänglig för andra vårdgivare om patienten inte motsätter
sig detta. Någon sekretessprövning behöver inte göras då uppgifterna görs tillgängliga.
En annan vårdgivare får bereda sig tillgång till sådana ospärrade uppgifter, om uppgifterna rör en patient som det finns en aktuell patientrelation med och uppgifterna kan antas ha betydelse för vården av patienten samt patienten samtycker till det eller, om patientens samtycke inte kan inhämtas, uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Med patientens samtycke får direktåtkomsten också användas om det behövs för att utfärda intyg om patientens pågående eller tidigare vård.
Med tanke på integritetskänsligheten i vårddokumentationen och den potentiellt sett vida spridning bland hälso- och sjukvårdspersonalen som möjliggörs genom sammanhållen journalföring har vi i det nämnda avsnittet föreslagit att direktåtkomsten vid den sammanhållna journalföringen bara skall få användas för de ovan nämnda syftena, dvs. vård och intygsutfärdande.
När det gäller sammanhållen journalföring och forskning inom hälso- och sjukvårdsområdet kan följande tilläggas.
I dag krävs det att en sekretessprövning görs innan patientuppgifter lämnas ut och används för forskning och detta oavsett om forskningen bedrivs inom vårdgivarens egna verksamhet eller inte. Om direktåtkomsten i den sammanhållna journalföringen skulle få användas även för forskningsändamål, skulle detta innebära att vårdgivare som deltar i sådan journalföring ges möjlighet att få tillgång till varandras patientuppgifter utan att någon sekretessprövning görs. Det skulle innebära en stor förändring gentemot i dag.
Utgångspunkten för våra förslag om sammanhållen journalföring är att sådan journalföring kommer att öka patientsäkerheten. Den enkätundersökning som vi låtit Statistiska centralbyrån göra visar att 79 procent är positiva till sammanhållen journalföring som innebär att hälso- och sjukvårdspersonalen snabbt kan få fram nödvändiga uppgifter om dem när de söker vård. Enligt vår uppfattning finns det dock risk för att allmänhetens förtroende för sammanhållen journalföring kommer att minska om uppgifter som samlats in i det individinriktade vårdarbetet utan sekretessprövning görs tillgängliga för andra vårdgivare genom direktåtkomst även för forskningsändamål. Resultatet av den tidigare nämnda enkätundersökningen visar t.ex. att 75 procent vill ha inflytande över hur deras journaluppgifter skall få användas för forskning som har godkänts av en etikprövningsnämnd. Det finns alltså anledning att befara att patienter i stor utsträckning kommer att vilja spärra sina uppgifter från tillgänglighet
i systemet för sammanhållen journalföring om forskare ges direktåtkomst. Det skulle motverka syftet med den sammanhållna journalföringen.
Att direktåtkomsten i den sammanhållna journalföringen inte får användas för forskningsändamål innebär inte att patientuppgifterna inte skulle vara tillgängliga för forskningsändamål. Dagens möjlighet att efter sedvanlig sekretessprövning erhålla uppgifter på medium för automatiserad behandling (t.ex. på cd-rom) för forskningsändamål kommer ju att finnas kvar (se avsnitt 8.7.3). Möjligheterna att bedriva forskning torde således förbättras, eftersom efterfrågade uppgifter, till skillnad från i dag, ofta kommer att finnas i elektronisk form och därmed vara lätt tekniskt tillgängliga.
18. Allmänna frågor och bestämmelser
18.1. Information till den registrerade
Vårt förslag: Den som är personuppgiftsansvarig enligt patientdatalagen skall se till att den registrerade får information om personuppgiftsbehandlingen. Informationen skall innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas. Informationen skall även innehålla upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att i vissa fall begära att uppgifter spärras, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 48 § samma lag till skadestånd. Vidare skall informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen skall informationen innehålla upplysningar om huruvida behandlingen är frivillig eller inte.
I det fall den personuppgiftsansvarige deltar i ett sammanhållet journalföringssystem skall den registrerade även informeras om vad den sammanhållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
I fråga om den information som skall lämnas beträffande personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister, se avsnitt 16.4.6.
Personuppgiftslagen (1998:204) innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information om behandling av personuppgifter till den registrerade (23–27 §§). Regleringen gäller dels den personuppgiftsansvariges skyldighet att självmant lämna information till den registrerade i samband med att personuppgifterna samlas in (23–25 §§), dels den personuppgiftsansvariges skyldighet att lämna information på den registrerades begäran (26 §). Gemensamt för båda fallen är att bestämmelser om sekretess och tystnadsplikt alltid går före skyldigheten att lämna information (27 §).
Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 § personuppgiftslagen). Huvudregeln bör vara att den registrerade får informationen innan han eller hon lämnar uppgifter eller uppgifterna annars samlas in från honom eller henne (Öman och Lindblom, Personuppgiftslagen – En kommentar, 2001, andra uppl., s. 187). I Datainspektionens allmänna råd om information till registrerade enligt personuppgiftslagen anges att personuppgifter bör hanteras som om de var insamlade från den registrerade själv även när de lämnas av en legal ställföreträdare, t.ex. när en vårdnadshavare lämnar uppgifter om sitt underåriga barn.
Om personuppgifterna har samlats in från någon annan källa än den registrerade, t.ex. genom samkörning, överföring av register eller via andra personer, skall den personuppgiftsansvarige enligt 24 § personuppgiftslagen som huvudregel självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras, dvs. när de matas in i en dator eller sorteras in i ett manuellt register som omfattas av personuppgiftslagen. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.
Från informationsskyldigheten i 24 § finns några undantag. Information behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Vidare behöver information inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.
I 25 § personuppgiftslagen anges vilken information som skall lämnas självmant. Informationen enligt 23 eller 24 §§ skall omfatta
uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.
Enligt 25 § andra stycket personuppgiftslagen behöver information inte lämnas om sådant som den registrerade redan känner till, t.ex. på grund av att han eller hon redan har fått informationen i enlighet med annan lagstiftning. Bestämmelsen – som gäller oavsett om uppgifterna har samlats in från den registrerade själv eller från någon annan källa – innebär att i de fall den personuppgiftsansvarige avser att fortlöpande samla in uppgifter om den registrerade, behöver information inte lämnas varje gång nya uppgifter samlas in, om den registrerade en gång har fått fullständig information och således redan känner till informationen (prop. 1997/98:44 s. 78).
Informationen skall lämnas till den registrerade. I Datainspektionens tidigare nämnda allmänna råd om information anges att även om den registrerade är underårig eller har god man eller förvaltare bör information lämnas till den registrerade om han eller hon själv kan tillgodogöra sig informationen. Är så inte fallet bör informationen i stället kunna lämnas till den underåriges vårdnadshavare eller i förekommande fall till en god man eller förvaltare.
Informationen måste inte lämnas skriftligen utan kan även lämnas muntligen. Det är den personuppgiftsansvarige som har bevisbördan för att den registrerade har fått den information som krävs.
Enligt 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information – ett s.k. registerutdrag – lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. I paragrafens andra stycke finns bestämmelser dels om den registrerades ansökan, dels om vid vilken tidpunkt efter ansökan som den personuppgiftsansvarige skall lämna information.
Från skyldigheten att lämna information enligt 26 § gäller undantag för personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Med löpande text avses text som inte har strukturerats
så att sökning av personuppgifter underlättas. De nämnda undantagen gäller inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
I 27 § personuppgiftslagen finns en bestämmelse om undantag från informationsskyldigheten i 23–26 §§ vid sekretess och tystnadsplikt. I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller, enligt 27 §, inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen vägra att lämna ut uppgifter till den registrerade. Bestämmelser om sekretess och tystnadsplikt gäller således alltid före skyldigheten att lämna information.
Den 1 januari 2007 träder nya bestämmelser i personuppgiftslagen i kraft.
TPF
1
FPT
De nya bestämmelserna innebär bl.a. att personuppgifts-
lagens bestämmelser om information till den registrerade (23–26 §§) inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, s.k. ostrukturerat material. Vidare införs i personuppgiftslagen en uttrycklig bestämmelse om att en myndighets beslut om information enligt 26 § får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Föreskrifterna skall inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.
Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om vilken information som skall lämnas till registrerade och hur informationen skall lämnas (50 § e personuppgiftslagen). Regeringen har i 16 § 5 personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela sådana föreskrifter. Några föreskrifter har emellertid ännu inte utfärdats. Däremot har, såsom tidigare framgått, allmänna råd om information till registrerade enligt personuppgiftslagen getts ut av Datainspektionen.
I lagen (1998:544) om vårdregister (vårdregisterlagen) finns en särskild bestämmelse om information. Enligt 11 § skall den som är personuppgiftsansvarig för ett vårdregister se till att den registrera-
1
Se prop. 2005/06:173, bet. 2005/06:KU37, rskr. 2005/06:254 och SFS 2006:398.
de får information om behandlingen. Informationen skall innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med registret, vilken typ av uppgifter som ingår i registret, den uppgiftsskyldighet som följer av lagen (1998:543) om hälsodataregister (hälsodataregisterlagen), de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter, rätten till skadestånd vid behandling av personuppgifter i strid med vårdregisterlagen, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, vad som gäller i fråga om bevarande och gallring, samt om registreringen är frivillig eller inte.
Det krävs inte att vårdpersonalen i varje enskilt fall lämnar en muntlig information om att dokumentationen sker i ett vårdregister utan informationsskyldigheten kan enligt lagens förarbeten fullgöras genom t.ex. broschyrer eller anslag vid vårdinrättningar (prop. 1997/98:108 s. 81 och 100).
Uppgiftsskyldigheten enligt hälsodataregisterlagen innebär att personuppgifter som samlats in i en vårdgivares verksamhet lämnas vidare till centrala förvaltningsmyndigheter inom hälso- och sjukvården. Enligt 6 § nämnda lag skall nämligen den som bedriver verksamhet inom hälso- och sjukvården lämna uppgifter till ett hälsodataregister för vissa i lagen angivna ändamål. Dessa ändamål är framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska undersökningar.
Våra överväganden
Våra förslag innebär att personuppgiftsbehandling enligt patientdatalagen som huvudregel skall få ske även om den enskilde motsätter sig behandlingen (se avsnitt 8.5). Mot den bakgrunden är det från integritetssynpunkt angeläget att den registrerade får utförlig information om personuppgiftsbehandlingen. Informationen behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med personuppgiftsbehandlingen. Information är även viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen.
I 25 § personuppgiftslagen anges vilken information som den personuppgiftsansvarige självmant skall lämna till den registrerade. Enligt vår uppfattning bör denna informationsskyldighet preciseras.
En sådan precisering medför att det blir tydligare för såväl den personuppgiftsansvarige som den registrerade vilken information som skall lämnas. Vi föreslår därför att det i patientdatalagen förs in en särskild bestämmelse om vilken information som den personuppgiftsansvarige skall lämna. Vid utformandet av bestämmelsen har vi utgått från vårdregisterlagens bestämmelse om information. Vissa tillägg behöver dock göras.
Skyldighet för vårdgivare att lämna ut uppgifter till myndigheter följer inte enbart av hälsodataregisterlagen utan även av andra författningar. Vi har i avsnitt 8.2 redogjort för några sådana bestämmelser. Den information som den personuppgiftsansvarige skall lämna bör därför inte inskränka sig till upplysningar om den uppgiftsskyldighet som följer av hälsodataregisterlagen, utan avse även sådana föreskrifter om uppgiftsskyldighet som kan bli aktuella.
Våra förslag i avsnitt 12.4 innebär att patienter ges rätt att begära att vårddokumentation spärras från tillgänglighet för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. De innebär vidare att en patient har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om honom eller henne. Som framhålls i det avsnittet är det väsentligt att den allmänna information som den personuppgiftsansvarige skall lämna även omfattar dessa rättigheter.
I fråga om upplysningar om rätten till rättelse av oriktiga eller missvisande uppgifter och om rätten till skadestånd görs hänvisningar till relevanta bestämmelser i personuppgiftslagen.
Därutöver behövs enligt vår mening en särskild bestämmelse i det fall den personuppgiftsansvarige deltar i ett sammanhållet journalföringssystem. Vi har i avsnitt 11.3 redogjort för våra överväganden i fråga om patientens inflytande vid sådan journalföring. Våra förslag innebär att patienten vid varje vårdepisod skall ha en möjlighet att motsätta sig att patientuppgifter görs tillgängliga för utomstående vårdgivare. Detta förutsätter att patienten dessförinnan har informerats om vad sammanhållen journalföring innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Informationen måste – utan undantag – lämnas innan uppgifterna görs tillgängliga i den sammanhållna journalföringen.
Vi har i avsnitt 16.4.6 behandlat frågan vilken ytterligare information som skall lämnas när det gäller personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister.
Hur informationen skall ges bör överlåtas åt varje personuppgiftsansvarig att bestämma. Något rättsligt krav på att informationen skall ges i viss form, muntlig eller skriftlig, föreslås alltså inte. Det finns dock anledning att understryka vikten av att den personuppgiftsansvarige skapar rutiner för hur informationsskyldigheten skall fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges intresse, eftersom den personuppgiftsansvarige har bevisbördan för att obligatorisk information faktiskt har lämnats till en registrerad. Liksom tidigare bör inte krävas att vårdpersonalen i varje enskilt fall lämnar en muntlig information om personuppgiftsbehandlingen, utan informationsskyldigheten bör kunna fullgöras genom t.ex. broschyrer och anslag i väntrummen. Som ett komplement bör information även kunna lämnas på vårdgivarens webbplats.
När det gäller hur information om sammanhållen journalföring bör lämnas, se avsnitt 11.3.3, och om personuppgiftsbehandling i nationella och regionala kvalitetsregister, se avsnitt 16.4.6.
Det åligger också den personuppgiftsansvarige att tillse att information är utformad på ett sätt som kan förstås av den registrerade. När det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.
Inom hälso- och sjukvården är det vanligt att patientens hälsotillstånd omöjliggör att information lämnas till patienten om en personuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för kunna tillgodogöra sig information av det slag som här avses. Många gånger saknar dessa patienter legala ställföreträdare, t.ex. en god man eller förvaltare, som i stället skulle kunna erhålla informationen. I sådana fall bör informationen, på motsvarande sätt som gäller i fråga om information om själva vården, kunna lämnas till någon patienten närstående (jfr 2 b § andra stycket hälso- och sjukvårdslagen [1982:763]). Så fort det är möjligt bör dock även patienten själv informeras om personuppgiftsbehandlingen. Givetvis måste uppgifter beträffande en patient som behöver akut vård kunna journalföras elektroniskt även om det inte finns någon närstående på plats som i samband med inhämtandet av uppgifter kan informeras om personuppgiftsbehandlingen. Uppgifterna får däremot inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.
Att beakta i sammanhanget är att en närstående till en vuxen person inte kan samtycka till en personuppgiftsbehandling (se dock de i avsnitt 11.3.4 nämnda författningsförslagen från utredningen
om förmyndare, gode män och förvaltare, SOU 2004:112). Enligt definitionen av samtycke i 3 § personuppgiftslagen skall det vara den registrerade som blir informerad och genom en otvetydig viljeyttring godtar behandlingen av sina personuppgifter. Som framgått tidigare innebär dock våra förslag att personuppgiftsbehandling enligt patientdatalagen som huvudregel skall få ske även om den enskilde motsätter sig behandlingen.
I övrigt skall personuppgiftslagens bestämmelser om information gälla. Detta behöver inte särskilt anges i patientdatalagen, eftersom personuppgiftslagens bestämmelser gäller om inget annat sägs (se avsnitt 7.3.3). Fr.o.m. den 1 januari 2007 kommer även bestämmelserna i personuppgiftslagen om överklagande av myndighets beslut om information enligt 26 § personuppgiftslagen att gälla vid personuppgiftsbehandling enligt patientdatalagen, dock inte i fråga om beslut som har meddelats före ikraftträdandet.
18.2. Personuppgiftslagens regler om rättelse och skadestånd
18.2.1. Rättelse
Vårt förslag: Personuppgiftslagens bestämmelser om rättelse skall gälla vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som sker enligt patientdatalagen. I sistnämnda lag skall göras en hänvisning till personuppgiftslagens regler om rättelse.
När det gäller rättelse av uppgifter i journalhandlingar skall patientdatalagens bestämmelser ha företräde.
Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje
man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 § personuppgiftslagen). Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. Det är i princip den personuppgiftsansvarige som själv väljer korrigeringsmetod, dvs. om de aktuella personuppgifterna skall rättas, blockeras eller utplånas. Av annan lagstiftning eller av sakens natur kan dock följa att vissa korrigeringsmetoder inte kan användas (prop. 1997/98:44 s. 132).
Sker rättelse skall den personuppgiftsansvarige också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Personuppgiftslagens bestämmelser om rättelse av personuppgifter är endast tillämpliga när uppgifter behandlats i strid med den lagen eller föreskrifter som har utfärdats med stöd av den lagen. Har personuppgifter behandlats på något sätt som endast står i strid med någon annan författning kan alltså inte rättelse ske med stöd av personuppgiftslagens regler. Av den anledningen föreskrivs i 13 § vårdregisterlagen att personuppgiftslagens bestämmelser om rättelse skall gälla även då personuppgifter behandlats i strid med vårdregisterlagen. Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i patientjournallagen.
I patientjournallagen finns särskilda regler om rättelse av uppgifter i journalhandlingar. I 6 § stadgas att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än som avses i 17 §. Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den. Enligt 17 § får Socialstyrelsen på ansökan av patienten eller någon annan som omnämns i en patientjournal förordna att journalen helt eller delvis skall förstöras. Förutsättning för detta är dels att godtagbara skäl anförs för ansökan, dels att patientjournalen eller den del därav som skall förstöras uppenbarligen inte behövs för patientens vård och dels att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen. Som framgår av avsnitt 10.4.6 och 10.4.8 föreslår vi att dessa bestämmelser skall föras över oförändrade till patientdatalagen.
Som nämnts tidigare träder nya bestämmelser i personuppgiftslagen i kraft den 1 januari 2007. En uttrycklig bestämmelse införs då om att en myndighets beslut om rättelse och underrättelse till tredje man enligt 28 § personuppgiftslagen får överklagas hos allmän
förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Föreskrifterna skall inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.
Våra överväganden
Enligt vår uppfattning bör den registrerade vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier i princip ha samma möjlighet att få personuppgifter rättade vid behandling av personuppgifter i strid mot patientdatalagen som vid behandling i strid mot personuppgiftslagen. I patientdatalagen skall därför i fråga om sådan personuppgiftsbehandling göras en hänvisning till personuppgiftslagens bestämmelser om rättelse.
När det gäller rättelse av uppgifter i journalhandlingar skall dock de från patientjournallagen till patientdatalagen överförda bestämmelserna gälla framför personuppgiftslagens bestämmelser. De förstnämnda bestämmelserna innebär att uppgifter inte får utplånas eller göras oläsliga annat än om Socialstyrelsen förordnat om journalförstöring. Skyldigheten att rätta felaktiga uppgifter följer däremot av personuppgiftslagen.
Det bör i sammanhanget noteras att det enligt 9 § första stycket h personuppgiftslagen är ett grundläggande krav på den personuppgiftsansvarige att vid behandling av personuppgifter se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 9 § första stycket e och g personuppgiftslagen ställs vidare krav på den personuppgiftsansvarige att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Den personuppgiftsansvarige måste således – oberoende av bestämmelsen i 28 § personuppgiftslagen om skyldigheten att vidta rättelse på den registrerades begäran – självmant vara aktiv för att se till att behandlade uppgifter är korrekta. Dessa krav, liksom andra grundläggande krav i 9 § första stycket personuppgiftslagen, gäller även då personuppgifter behandlas enligt patientdatalagen (se avsnitt 7.3.3). Fr.o.m. den 1 januari 2007 kommer även bestämmelserna i person-
uppgiftslagen om överklagande av beslut om rättelse att gälla vid personuppgiftsbehandling enligt patientdatalagen, dock inte i fråga om beslut som har meddelats före ikraftträdandet.
18.2.2. Skadestånd
Vårt förslag: Personuppgiftslagens bestämmelser om skadestånd skall gälla vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförts i strid mot patientdatalagen. I sistnämnda lag skall göras en hänvisning till personuppgiftslagens regler om skadestånd.
Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Skadeståndsbestämmelserna i personuppgiftslagen gäller framför de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207). I den mån en fråga inte är reglerad i personuppgiftslagen skall dock bestämmelserna i skadeståndslagen tillämpas. Det gäller exempelvis i fråga om beräkning av ersättningens storlek.
Skillnaden mellan de särskilda bestämmelserna i personuppgiftslagen och bestämmelserna i skadeståndslagen består främst i att ersättning enligt personuppgiftslagen kan utgå för ren förmögenhetsskada och för kränkning av den personliga integriteten även om brottslig gärning inte har begåtts. En annan viktig skillnad är att personuppgiftslagens skadeståndsbestämmelse bygger på ett i princip strikt skadeståndsansvar medan skadeståndsskyldighet enligt skadeståndslagen förutsätter åtminstone ett oaktsamt handlande från skadevållarens sida.
Skadeståndsbestämmelserna i personuppgiftslagen gäller bara vid behandling av personuppgifter i strid mot bestämmelserna i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid mot andra författningar. Av det skälet föreskrivs i 14 § vårdregister-
lagen att bestämmelserna i personuppgiftslagen om skadestånd gäller vid behandling av personuppgifter enligt vårdregisterlagen.
Enligt vår uppfattning bör ett skadeståndsansvar motsvarande det som gäller enligt personuppgiftslagen finnas även vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförs i strid med patientdatalagen. I sistnämnda lag skall därför göras en hänvisning till personuppgiftslagens bestämmelser om skadestånd. I fråga om andra personuppgifter som hanteras i strid mot patientdatalagen gäller de allmänna skadeståndsreglerna i skadeståndslagen. Dessa regler kan också bli tillämpliga om bestämmelserna i patientdatalagen som avser verksamhetsregleringen inte följs; exempelvis att någon anteckning inte görs om att en patient anser att en uppgift i en journal är oriktig eller missvisande, se 3 kap. 7 § patientdatalagen.
18.3. Bevarande och gallring
Vårt förslag: När det gäller bevarande och gallring av journalhandlingar skall, såsom tidigare föreslagits, patientjournallagens bestämmelser härom föras över oförändrade till patientdatalagen. I fråga om bevarande och gallring av journalhandlingar vid sammanhållen journalföring, se avsnitt 11.7.
När det gäller bevarande och gallring av andra allmänna handlingar än journalhandlingar skall arkivlagens bestämmelser gälla. Det behövs ingen bestämmelse om detta i patientdatalagen. I fråga om bevarande och gallring av personuppgifter i ett nationellt eller regionalt kvalitetsregister, se avsnitt 16.4.8.
I fråga om bevarande och gallring av personuppgifter som inte är allmänna handlingar (och inte heller journalhandlingar) gäller personuppgiftslagen. Det behövs ingen uttrycklig bestämmelse om detta i patientdatalagen.
Enligt 9 § första stycket i personuppgiftslagen skall den personuppgiftsansvarige se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än vad som nu sagts. Personuppgifterna får dock i sådana fall inte bevaras under en längre
tid än vad som behövs för dessa ändamål. Efter denna tid måste personuppgifterna avidentifieras eller utplånas.
Personuppgiftslagens bestämmelser hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos myndigheter finns i arkivlagen (1990:782). De bestämmelser som gäller för kommunala myndigheters arkiv gäller även för arkiv hos sådana juridiska personer som avses 1 kap. 9 § sekretesslagen, dvs. aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
I arkivlagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet. Det i lagen angivna syftet med arkivbildningen är att myndigheternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov.
En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnesanteckningar, utkast och koncept) som myndigheten beslutar skall tas hand om för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.
Huvudregeln enligt arkivlagen är att allmänna handlingar skall bevaras. Enligt 10 § arkivlagen får emellertid gallring ske. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser.
Med gallring avses traditionellt att vissa handlingar sorteras ut ur sitt sammanhang och sedan förstörs. När det gäller gallring av elektroniska upptagningar innebär detta normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det skall vara fråga om gallring. Tvärtom kan ett visst material gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från det elektroniska mediet. Även om alla uppgifter då fortfarande kan tyckas finnas kvar på papper, så har olika sökmöjligheter eller möjligheter att göra sammanställningar eller kontroller av
handlingars autencitet – t.ex. elektroniska signaturer – gått förlorade, vilket medför att materialet har gallrats. Innebörden av att ett visst material har gallrats, är alltså att möjligheten att få fram information ur materialet på något sätt har försämrats.
Riksarkivet har definierat gallring som förstöring av allmänna handlingar och uppgifter i allmänna handlingar. Förstöring av sådana handlingar/uppgifter i samband med överföring till annan databärare räknas som gallring om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att fastställa informationens autenticitet (RA-FS 1994:2 och RA-FS 2003:2).
Vid gallring skall alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose arkivbildningens syften.
En kommunal myndighet får inte på egen hand avgöra vad som skall gallras ur dess arkiv. Gallringsföreskrifter för sådana myndigheter meddelas av kommunfullmäktige respektive landstingsfullmäktige. För vissa typer av handlingar är dock rätten att meddela gallringsföreskrifter inskränkt genom lag eller förordning, t.ex. genom bestämmelser i patientjournallagen eller andra författningar om minsta bevarandetid för journalhandlingar (se vidare nedan).
I fråga om bevarande av patientjournaler finns särskilda regler i bl.a. 8 § patientjournallagen (1985:562). Enligt denna bestämmelse – som gäller såväl allmän som enskild hälso- och sjukvård – skall en journalhandling bevaras minst tre år efter det den sista uppgiften fördes in i handlingen. Regeringen, eller den myndighet regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras i minst tio år. Så har också skett i förordningen (1986:203) om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjukvården.
TPF
2
FPT
Längre bevarandetider kan också vara föreskrivna i andra
lagar. I t.ex. 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m. föreskrivs att uppgifter om spermagivare vid insemination och givare av ägg eller spermier vid befruktning utanför kroppen skall antecknas i en särskild journal, som skall bevaras i minst 70 år.
Som redovisats i avsnitt 10.4.9 har Socialstyrelsen möjlighet att i vissa fall besluta att patientjournaler inom enskild hälso- och sjuk-
TP
2
PT
Som redovisats i avsnitt 10.4.7 föreslås i promemorian Genomförande av EG-direktivet om
mänskliga vävnader och celler (Ds 2005:40) att regeringen eller den myndighet regeringen bestämmer skall få föreskriva att vissa slags journalhandlingar skall bevaras minst 30 år. Förslagen i promemorian har remissbehandlats och bereds för närvarande inom Regeringskansliet.
vård skall tas om hand. Sådana omhändertagna journaler skall enligt 12 § andra stycket patientjournallagen bevaras minst tio år från det att de kom in till arkivmyndigheten.
I 8 § andra stycket patientjournallagen anges att för journalhandlingar som utgör allmänna handlingar gäller utöver patientjournallagenarkivlagen samt de bestämmelser som meddelas med stöd av arkivlagen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Som nämnts tidigare innebär dessa en presumtion för bevarande men medgivande till gallring på bestämda villkor.
Vårdregisterlagen innehåller inte några avvikande bestämmelser om bevarande och gallring. I stället anges i 10 § vårdregisterlagen att utöver vad som följer av personuppgiftslagen finns särskilda bestämmelser om bevarande och gallring i patientjournallagen.
Våra överväganden
Som redovisats tidigare finns de grundläggande bestämmelserna om bevarande av journalhandlingar i patientjournallagen. Vi har i avsnitt 10.4.7 föreslagit att dessa skall föras över oförändrade till patientdatalagen. Det innebär alltså att journalhandlingar inom såväl allmän som enskild hälso- och sjukvård skall bevaras den minsta tid som anges i patientdatalagen eller i författningar som har meddelats med stöd av lagen. Längre bevarandetider kan, såsom framgått tidigare, vara föreskrivna i andra lagar. Efter utgången av den minsta tiden för bevarande får sådana handlingar gallras. Därvid skall bestämmelserna i 9 § första stycket i och tredje stycket personuppgiftslagen beaktas (se vidare nedan). Om journalhandlingarna utgör allmänna handlingar måste dock bestämmelserna i arkivlagen och de bestämmelser som meddelas med stöd av arkivlagen beaktas.
I fråga om bevarande och gallring av journalhandlingar vid sammanhållen journalföring, se avsnitt 11.7.
Beträffande bevarande och gallring av andra allmänna handlingar än journalhandlingar gäller arkivlagens bestämmelser. Någon hänvisning till arkivlagens bestämmelser behöver inte göras (jfr prop. 1997/98:108 s. 80). Av 8 § andra stycket personuppgiftslagen följer nämligen uttryckligen att lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
I fråga om bevarande och gallring av personuppgifter i ett nationellt eller regionalt kvalitetsregister, se avsnitt 16.4.8.
När det slutligen gäller personuppgifter som inte är allmänna handlingar (och inte heller journalhandlingar) så följer av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Efter denna tid måste uppgifterna avidentifieras eller utplånas. Enligt vår uppfattning saknas anledning att föreslå någon härifrån avvikande bestämmelse. Eftersom 9 § personuppgiftslagen gäller även då personuppgifter behandlas enligt patientdatalagen, behövs ingen uttrycklig bestämmelse om detta.
18.4. Säkerheten vid behandling och tillsynsmyndighetens befogenheter
Vårt förslag: Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter skall gälla också när personuppgifter behandlas enligt patientdatalagen. Därutöver skall i patientdatalagen anges vilka säkerhetsåtgärder som i vissa fall skall vidtas, se avsnitt 12.4.
Datainspektionen skall vara tillsynsmyndighet även då personuppgifter behandlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt skall dock alltjämt utövas av Socialstyrelsen.
I 30 och 31 §§personuppgiftslagen finns regler om hur den personuppgiftsansvarige skall organisera arbetet för att garantera säkerheten för personuppgifter som behandlas.
Enligt 30 § får ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Av dataskyddsdirektivet framgår inte hur utförliga instruktioner som den personuppgiftsansvarige måste lämna sina medhjälpare. Datalagskommittén har dock framhållit att den personuppgiftsansvarige i princip bär ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kommer att utföras (SOU 1997:39 s. 408).
Om det i lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet, skall dessa gälla i stället (30 § tredje stycket). Enligt personuppgiftslagens förarbeten avses särskilt bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 136).
Enligt 31 § skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Personuppgiftslagen föreskriver således inte någon konkret säkerhetsåtgärd som skall eller bör vidtas utan ger en kortfattad och allmänt hållen uppräkning av de faktorer som skall beaktas av den personuppgiftsansvarige. Avsikten är, enligt personuppgiftslagens förarbeten, att regeringen eller den myndighet som regeringen bestämmer skall meddela de närmare föreskrifter om säkerhetsåtgärder som behövs (a. prop. s. 92). Enligt 50 § b personuppgiftslagen får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Regeringen har i personuppgiftsförordningen (16 §) bemyndigat Datainspektionen att meddela sådana föreskrifter. Några föreskrifter har ännu inte meddelats. Däremot har Datainspektionen gett ut allmänna råd om säkerhet för personuppgifter.
Personuppgiftslagen innehåller vidare vissa bestämmelser om tillsynsmyndighetens befogenheter. Enligt 3 § personuppgiftslagen är tillsynsmyndigheten den myndighet som regeringen utser att utöva tillsyn. Regeringen har i 2 § personuppgiftsförordningen utsett Datainspektionen att vara tillsynsmyndighet enligt personuppgiftslagen.
Av 32 § personuppgiftslagen följer att tillsynsmyndigheten i enskilda fall får besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §. Tillsynsmyndigheten har också rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (43 §). Tillsynsmyndigheten har vidare vissa möjligheter att förelägga vite och att förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än att lagra dem (44 och 46 §§). Tillsynsmyndigheten har också möjlighet att
hos domstol ansöka om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (47 §).
Våra överväganden
Enligt vår uppfattning bör personuppgiftslagens bestämmelser om säkerheten vid behandling av personuppgifter och tillsynsmyndighetens befogenheter gälla även när personuppgifter behandlas enligt patientdatalagen.
Det bör i sammanhanget framhållas att den personuppgiftsbehandling som sker inom hälso- och sjukvården avser integritetskänsliga personuppgifter om enskilda. Det medför att höga krav måste ställas på de säkerhetsåtgärder som skall vidtas för att skydda personuppgifterna och att en sårbarhetsanalys måste göras för att identifiera riskerna. Hög kvalitet på tekniska skyddsåtgärder såsom säkra funktioner för behörighetskontroll, loggning, kommunikation, säkerhetskopiering m.m. måste förutsättas. Minst lika viktigt är administrativa rutiner för hanteringen av personuppgifter och att personalen kontinuerligt utbildas och informeras om säkerhetsfrågor.
Vanligtvis brukar säkerhetsfrågor inte regleras i lag eller förordning utan hanteras på myndighetsnivå. Vi har dock i avsnitt 12.4 föreslagit att det i patientdatalagen skall införas bestämmelser som innebär en skyldighet för vårdgivare att bestämma villkor för tilldelning av behörighet för åtkomst till patientuppgifter, som förs helt eller delvis automatiserat, att genomföra åtgärder som innebär att åtkomst till sådana patientuppgifter dokumenteras och kan kontrolleras samt att genomföra systematiska och återkommande kontroller av att obehörig åtkomst till sådana uppgifter inte förekommer. De föreslagna bestämmelserna innebär en konkretisering av personuppgiftslagens bestämmelser om teknisk och administrativ säkerhet till skydd för personuppgifterna.
Som framgått tidigare har regeringen utsett Datainspektionen att vara tillsynsmyndighet enligt personuppgiftslagen. Det finns dock inget som hindrar att regeringen utser olika tillsynsmyndigheter för skilda områden, t.ex. en särskild tillsynsmyndighet för den behandling av personuppgifter som sker inom hälso- och sjukvården. Så har emellertid inte skett och enligt vår uppfattning saknas anledning att nu överväga en sådan ordning. Datainspektionen skall alltså vara tillsynsmyndighet även då personuppgifter behandlas enligt patientdatalagen.
Detta tillsynsansvar omfattar dock inte det som faller in under Socialstyrelsens tillsynsansvar. Socialstyrelsen skall enligt 6 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område utöva tillsyn över hälso- och sjukvården och dess personal. Tillsynen skall främst syfta till att förebygga skador och eliminera risker i hälso- och sjukvården. Tillsynen är således inriktad på patientsäkerheten. Bestämmelserna om patientjournalföring är av central betydelse för patientsäkerheten. Tillsynen över att journalföring sker på sätt som föreskrivs i patientdatalagen skall alltså utövas av Socialstyrelsen. Att behandlingen av personuppgifter i elektroniska journaler sker i överensstämmelse med patientdatalagen faller däremot in under Datainspektionens tillsynsansvar. Detta innebär att Datainspektionens tillsyn bl.a. skall omfatta frågor som rör åtkomsten till personuppgifter inom hälso- och sjukvården och informationen till de registrerade. Datainspektionens tillsyn skall också omfatta frågor som rör informationssäkerhet. Vi är medvetna om att det inte är möjligt att dra någon skarp gräns mellan Datainspektionens och Socialstyrelsens tillsynsansvar, men vi förutsätter att myndigheterna samverkar i dessa frågor.
18.5. Ytterligare föreskrifter
Vår bedömning: Några ytterligare delegationsbestämmelser utöver de som vi tidigare föreslagit behövs inte.
Vi har tidigare i betänkandet föreslagit olika bemyndiganden för regeringen, eller i vissa fall den myndighet regeringen bestämmer, att utfärda olika föreskrifter.
Sålunda har vi i avsnitt 8.5 föreslagit att regeringen skall få föreskriva att en behandling av personuppgifter som inte är tillåten enligt patientdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.
I avsnitt 8.6 har vi föreslagit att regeringen skall få föreskriva att ett landsting eller en kommun får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
Vi har i avsnitt 10.4.4 föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela föreskrifter om undantag från kravet på att journalanteckningar skall signeras. Vidare
har vi i avsnitt 10.4.10 gjort bedömningen att det beträffande regleringen av patientjournalföringen inte behövs några delegationsbestämmelser utöver de som i dag finns i patientjournallagen. Dessa bestämmelser innebär att regeringen, eller den myndighet som regeringen bestämmer får föreskriva undantag från kraven på journalens innehåll, nämligen i fråga om journalspråket och kravet på att i journalen anteckna patientens identitet. Bestämmelserna innebär vidare att regeringen, eller den myndighet som regeringen bestämmer, får meddela ytterligare föreskrifter om journalhandlings innehåll, utformning och hantering. Slutligen bemyndigas regeringen att meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.
Vidare har vi i avsnitt 12.4 föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela närmare föreskrifter om tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat och om dokumentation och kontroll av elektronisk åtkomst till patientuppgifter.
I avsnitt 13.3 har vi föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela föreskrifter om de krav på säkerhetsåtgärder som skall gälla vid enskilds direktåtkomst till sina uppgifter.
Vidare har vi i avsnitt 11.6 föreslagit att regeringen få skall meddela föreskrifter om personuppgiftsansvar när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.
I avsnitt 16.4.3 har vi föreslagit att regeringen skall få föreskriva att även enskild får vara personuppgiftsansvarig för sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå. Vi har även föreslagit att en arkivmyndighet inom en kommun eller ett landsting skall få föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom kommunen eller landstinget får bevaras för historiska, statistiska och vetenskapliga ändamål.
I avsnitt 12.4 har vi föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela närmare föreskrifter om den information som en vårdgivare skall ge till patienten om den direktåtkomst och elektroniska åtkomst som förekommit till patientens uppgifter.
Enligt vår bedömning saknas behov av några ytterligare delegationsbestämmelser utöver de som vi tidigare föreslagit.
18.6. Utlämnande av journalhandling som har samband med vävnadsprov i biobank
Vårt förslag: Patientjournallagens bestämmelse om att en journalhandling som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material om patienten från en biobank flyttas till biobankslagen.
Patientjournallagens 16 § reglerar patientens rätt att få del av journalhandlingar inom enskild hälso- och sjukvård (se avsnitt 13.2). I samband med införandet av lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) infördes ett nytt andra stycke i bestämmelsen. Enligt detta stycke skall en journalhandling som rör en viss patient också lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material om den patienten från en biobank enligt 4 kap. 1 § biobankslagen, om patienten samtyckt till utlämnandet. Vidare upplyses om att det i fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen. Frågan om utlämnande prövas på samma sätt som frågor om utlämnande av journalhandling på begäran av patienten enligt 16 § första stycket patientjournallagen, dvs. av den som är ansvarig för journalhandlingen. Anser denne inte anser att journalhandlingen kan lämnas ut, överlämnas frågan till Socialstyrelsen för prövning.
Enda förklaringen till varför bestämmelsen togs in i patientjournallagen i stället för biobankslagen synes vara att formerna för prövning och överklagande redan fanns i patientjournallagen (se prop. 2001/02:44 s. 51). Å andra sidan finns ett liknande prövningsförfarande när det gäller utlämnande av vävnadsprover ur en biobank i 4 kap. 6 § biobankslagen.
Våra överväganden
Enligt vår uppfattning bör patientdatalagens bestämmelser om journalföring endast avse de grundläggande reglerna. Som vi framhållit i avsnitt 10.4.4 bör specialregler finnas i särlagstiftningen. Vi föreslår
därför att den nu behandlade bestämmelsen flyttas till biobankslagen.
19. Ikraftträdande- och övergångsbestämmelser
Vårt förslag: Patientdatalagen och de ändringar som vi föreslår i andra författningar skall träda i kraft den 1 januari 2008.
När patientdatalagen träder i kraft skall patientjournallagen och vårdregisterlagen upphöra att gälla.
Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister skall inte börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare skall bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information om sådan personuppgiftsbehandling inte gälla beträffande sådana personuppgifter som behandlats före den 1 januari 2009.
Patientdatalagen bör kunna träda i kraft den 1 januari 2008. Detsamma gäller de ändringar vi föreslår i sekretesslagen (1980:100), lagen (2001:499) om omskärelse av pojkar och lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
Patientdatalagen ersätter den reglering som nu finns i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen). De båda sistnämnda lagarna skall därför upphöra att gälla samtidigt som patientdatalagen träder i kraft.
I dag regleras personuppgiftsbehandlingen i nationella och regionala kvalitetsregister av personuppgiftslagen (1998:204). Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister innebär en skärpning av lagstiftningen jämfört med vad som gäller i dag, bl.a. genom att den enskilde ges rätt att motsätta sig registrering. Av det skälet bör särskilda övergångsbestämmelser meddelas i fråga om sådana kvalitetsregister.
Verksamheten bör ges möjlighet att anpassa sina rutiner till den nya lagstiftningen, varför vi föreslår att patientdatalagens bestämmelser om nationella och regionala kvalitetsregister inte skall börja
tillämpas förrän efter en viss övergångstid. Vi uppskattar ett år som en tillräcklig övergångstid. Vi föreslår alltså att patientdatalagens bestämmelser om nationella och regionala kvalitetsregister inte skall börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande.
Vidare föreslår vi att patientdatalagens bestämmelser om den enskildes rätt att motsätta sig personuppgiftsbehandling i nationella och regionala kvalitetsregister och om information om sådan personuppgiftsbehandling inte skall gälla beträffande sådana personuppgifter som behandlats före den 1 januari 2009. Det innebär att redan insamlade personuppgifter får finnas kvar i kvalitetsregistren och att nämnda information endast behöver lämnas beträffande framtida personuppgiftsbehandling i registren.
För tydlighetens skull bör nämnas att vi inte föreslår några särskilda övergångsbestämmelser i fråga om patientdatalagens bestämmelser om sammanhållen journalföring. Det innebär att en vårdgivares uppgifter om en patient som har dokumenterats före patientdatalagens ikraftträdande endast får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring om lagens förutsättningar härför är uppfyllda.
20. Konsekvenser av våra förslag
20.1. Ekonomiska konsekvenser
För kommittéers och särskilda utredares arbete gäller kommittéförordningens (1998:1474) bestämmelser.
Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall enligt 14 § kommittéförordningen en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, skall dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall kommittén föreslå en finansiering.
Våra förslag innebär inledningsvis att det införs en ny lag – patientdatalagen – som skall tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Bestämmelserna i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) förs över till den nya lagen. Genom förslagen åstadkoms en mer samlad reglering av personuppgiftsbehandlingen inom hälso- och sjukvården. Förslagen medför däremot inte några ekonomiska eller andra konsekvenser.
Våra förslag i fråga om sammanhållen journalföring innebär en möjlighet för sjukvårdshuvudmännen och andra vårdgivare att på frivillig väg skapa system som medger elektronisk tillgång till varandras journaluppgifter i det direkta patientarbetet. Förslagen innebär alltså inte någon skyldighet för vårdgivare att delta i sådana system. Det är inte möjligt för oss att förutse i vilken utsträckning system för sammanhållen journalföring kommer att skapas eller hur dessa kommer att utformas. Det är därmed inte heller möjligt att uppskatta kostnaderna för t.ex. de investeringar som kommer att krävas. Samtidigt kommer införandet av sammanhållen journalföring att leda till effektivitetsvinster i form av minskad administration för hälso- och sjukvårdspersonalen samt förbättrade möjligheter för olika vårdgivare att samarbeta och därigenom undvika dubbelarbete. Förslagen leder
också till förbättrad patientsäkerhet. Att beräkna storleken på dessa vinster är emellertid inte möjligt.
Våra förslag beträffande inre sekretess innebär bl.a. en lagreglerad skyldighet för vårdgivare att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till sådana uppgifter om patienter, som förs helt eller delvis automatiserat. Vårdgivares ansvar i detta avseende är emellertid inte något nytt. Förslaget innebär enbart att kraven på vårdgivarna tydliggörs och bör därför inte medföra några ökade kostnader för dem.
Förslagen innebär vidare en lagreglerad skyldighet för vårdgivare att genomföra åtgärder som innebär att elektronisk åtkomst till sådana uppgifter om patienter, som förs helt eller delvis automatiserat, dokumenteras och kan kontrolleras. Av patientjournallagen och vårdregisterlagen följer redan ett ansvar för vårdgivare att självmant följa upp hur behörighetssystem fungerar och i vad mån obehörig åtkomst har skett. Våra förslag innebär att kraven på vårdgivarna konkretiseras. Förslagen bör inte medföra några ökade kostnader.
I fråga om inre sekretess innebär våra förslag också att patienter ges möjlighet att få sina uppgifter spärrade från elektronisk tillgänglighet utanför den enhet där de vårdas. Bland en del vårdgivare förekommer detta redan. Hos andra kan de nuvarande elektroniska journalsystemen behöva anpassas till förslagen. Vi har svårt att uppskatta i vilken utsträckning detta behöver ske och därmed vilka kostnader som kan uppstå. Som framgått tidigare är ju en stor del av journalföringen inom sjukhusvården fortfarande inte elektronisk. Kraven på möjligheter att spärra uppgifter kan då beaktas i samband med att elektroniska journalsystem införskaffas. Det är vidare inte ovanligt att det på sjukhus förekommer flera från varandra separata journalsystem som inte är kompatibla. I dessa fall är det alltså inte är möjligt för personalen på en enhet att få elektronisk tillgång till en annan enhets journaluppgifter.
Våra förslag innebär vidare att vårdgivare får medge enskilda direktåtkomst till sina journaluppgifter och andra patientuppgifter samt logglistor med anknytning till journalen. Förslagen innebär alltså ingen skyldighet för vårdgivarna. Det är svårt att uppskatta i vilken utsträckning sådan direktåtkomst kommer att anordnas eller vilka kostnader detta kan komma att medföra.
Våra förslag innebär också att vårdgivare åläggs att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till dennes patientuppgifter. I vilken utsträckning patienter kommer att begära att få sådan information är
svårt att förutse. Skyldigheten kan visserligen komma att innebära ett visst administrativt merarbete för hälso- och sjukvårdspersonalen, men vi förutsätter att informationssystemen kan utformas så att informationen lätt kan sammanställas.
Våra förslag i fråga om nationella och regionala kvalitetsregister innebär inledningsvis att dessa författningsregleras särskilt i förhållande till personuppgiftslagen (1998:204). Förslagen innebär vidare att enskilda ges en rätt att slippa bli registrerade i sådana register. Detta förutsätter att de informeras. Informationsskyldighet följer redan i dag av personuppgiftslagen och innebär således ingen förändring. Våra förslag innebär inte något obligatorium för vårdgivare att föra sådana kvalitetsregister eller någon uppgiftsskyldighet gentemot registren.
20.2. Konsekvenser för små företags villkor
I 15 § kommittéförordningen anges att om förslagen i ett betänkande har betydelse för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, skall konsekvenserna i det avseendet anges i betänkandet.
I våra direktiv framhålls att hälso- och sjukvården i dag utförs även av andra än landstingen, bl.a. privata aktörer. En del av dem är små företag som också berörs av vårt uppdrag. Detta är en omständighet som vi enligt våra direktiv skall beakta i en särskild analys av konsekvenserna av reglers effekter för små företags villkor. I enlighet med direktiven har kontakt tagits med och synpunkter inhämtats från Näringslivets regelnämnd (NNR).
Som framgått tidigare har det visat sig vara omöjligt att få fram uppgifter om hur stort antal vårdgivare inom vars verksamhet patientjournaler förs (se avsnitt 9.4.3). Det är därmed inte heller möjligt att beräkna hur många privata vårdgivare det finns som kan tänkas beröras av våra förslag.
Våra förslag innebär inte någon skyldighet för små privata företag som bedriver hälso- och sjukvård att delta i sammanhållen journalföring eller att medge sina patienter direktåtkomst till journaluppgifter etc. Det är svårt att förutse i vilken utsträckning de kommer att välja att delta i system för sammanhållen journalföring.
De föreslagna skyldigheterna för vårdgivare att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till patientuppgifter och att genomföra åtgärder som innebär att elektronisk åtkomst
till patientuppgifter dokumenteras och kan kontrolleras innebär, såsom tidigare sagts, att kraven i dessa avseenden tydliggörs och konkretiseras. Förslagen utgör integritetsskyddsregler och kraven bör, enligt vår uppfattning, vara desamma oavsett om vårdgivaren är ett landsting eller ett litet privat företag. Detsamma gäller skyldigheten att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till dennes patientuppgifter. Tilläggas kan att dessa förslag förutsätter att vårdgivaren behandlar patientuppgifter automatiserat och att det är oklart i vilken utsträckning små privata företag som bedriver hälso- och sjukvård gör detta.
När det gäller förslaget att vårdgivare skall ge sina patienter möjlighet att spärra sina uppgifter för andra vårdenheter kommer detta knappast att bli aktuellt för små företag, eftersom de oftast bildar en enda enhet.
20.3. Andra konsekvenser
I 15 § kommittéförordningen anges vidare, att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, skall konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen. Enligt vår uppfattning medför våra förslag inte några konsekvenser i angivna avseenden.
21. Författningskommentar
21.1. Förslaget till patientdatalag
1 kap. Lagens tillämpningsområde m.m.
Lagens tillämpningsområde
1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Paragrafen, som har behandlats i avsnitt 7.3.2, anger i första stycket patientdatalagens tillämpningsområde. Lagen skall tillämpas vid behandling av personuppgifter inom hälso- och sjukvården. Det innebär till en början att den är tillämplig i en vårdgivares kärnverksamhet; alltså då vårdgivaren tillhandahåller hälso- och sjukvård respektive tandvård åt patienter. Vårdgivare och andra centrala begrepp i patientdatalagen definieras i 3 §. Förutom landsting och kommuner finns det privata vårdgivare som tillhandahåller hälso- och sjukvård. Hälso- och sjukvård förekommer också hos statliga myndigheter som t.ex. Kriminalvården och Totalförsvarets pliktverk. Till kärnverksamheten hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos människor vare sig den verksamheten sker enligt hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) eller någon annan lagstiftning. Här ingår även annan närliggande patientverksamhet som insemination, abort, sterilisering, kastrering, omskärelse, transplantationsingrepp på givare och blodgivning. Till kärnverksamheten räknas vidare bl.a. administration och utveckling av verksamheten, se närmare härom 2 kap. 4 § samt 7 kap. 4 § om för vilka ändamål som personuppgiftsbehandling får äga rum. Person-
uppgiftsbehandling för den rent administrativa verksamheten utan direkt koppling till patientverksamheten – t.ex. personaladministration – faller dock utanför lagens tillämpningsområde. Detsamma gäller forskning, såvida det inte är fråga om en vårdgivares s.k. patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården, se avsnitt 7.3.2 och 17.4. Inte heller är patientdatalagen tillämplig vid utbildning t.ex. av blivande läkare och sjuksköterskor. I den del dessa deltar i den faktiska patientvården är patientdatalagen dock tillämplig. Lagen skall inte tillämpas av sådana myndigheter som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, som t.ex. Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd. Även verksamhet vid sjukvårdshuvudmännens läkemedelskommittéer och patientnämnder faller utanför lagens tillämpningsområde. När det gäller personuppgiftsbehandlingen ersätter patientdatalagen lagen (1998:544) om vårdregister. Av första stycket framgår vidare att det i lagen finns bestämmelser om skyldighet att föra patientjournal. Dessa bestämmelser finns i första hand i 3 kap. Bestämmelserna är med en del förändringar överförda från patientjournallagen (1985:562). Patientdatalagen innehåller således bestämmelser som rör både personuppgiftsbehandling inom hälso- och sjukvården och bedrivande av verksamheten. Skälet till att bestämmelserna sammanförts i en lag är att de tar sikte på informationshanteringen i stort inom hälso- och sjukvården.
Av andra stycket framgår att vissa bestämmelser i patientdatalagen kan bli tillämpliga även när det gäller avlidna personer. Patientjournallagen gäller i tillämpliga delar avlidna personer medan lagen om vårdregister omfattar bara uppgifter om personer som är i livet. Innebörden av andra stycket i förevarande paragraf är att de bestämmelser som överförts från patientjournallagen i tillämpliga delar omfattar också avlidna personer. Motsvarande gäller de bestämmelser som rör personuppgiftsbehandlingen i patientdatalagen. Bestämmelser av sistnämnt slag som skall tillämpas på avlidna är sådana som avser ändamål, sökbegrepp och åtkomst till uppgifter om avlidna. Däremot är patientdatalagens bestämmelser om samtycke inte tillämpliga på avlidna.
Respekt för enskildas integritet
2 § Personuppgifter skall utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.
Dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga inte får tillgång till dem.
I paragrafen finns en mer övergripande regel som slår fast att hantering etc. av personuppgifter enligt denna lag skall ske med respekt för enskildas integritet. Första stycket motsvarar i huvudsak 4 § patientjournallagen (1985:562) men har fått ett vidare tillämpningsområde i det att bestämmelsen inte bara avser journalföring utan utformning och övrig behandling av personuppgifter inom all verksamhet som regleras av patientdatalagen. Av paragrafen framgår vidare att det inte bara är patientens integritet som skall respekteras. Hänsyn skall också tas till andra personer, exempelvis anhöriga, om vilka det kan finnas uppgifter hos hälso- och sjukvården.
I andra stycket, som har behandlats i avsnitt 12.4, finns en regel om att dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga inte får tillgång till dem. Paragrafen motsvarar delvis 7 § första stycket patientjournallagen, som anses reglera den inre sekretessen, och 8 § lagen (1998:544) om vårdregister. Bestämmelsen i andra stycket har emellertid ett vidare syfte än att bara vara en reglering av den inre sekretessen. Den utgör generellt en garanti för att patienters och andras integritet skall respekteras då personuppgifter om dem hanteras och förvaras. Med hantering och förvaring avses här alla slags åtgärder som vidtas beträffande personuppgifterna. Bestämmelsen är tillämplig på alla dokumenterade personuppgifter. Den gäller således alla personuppgifter om exempelvis en patient, inte bara uppgifter som finns i manuella och elektroniska patientjournaler. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person. Av 1 § andra stycket framgår att patientdatalagen i tillämpliga delar gäller även avlidna personer. Obehöriga personer kan vara såväl utomstående, t.ex. andra patienter och anhöriga som råkar vistas på en sjukvårdsinrättning, som befattningshavare inom hälso- och sjukvården. När det gäller den sistnämnda kategorin utgör bestämmelsen en reglering av den inre sekretessen. En förutsättning för att en befattningshavare inom hälso- och sjukvården skall få ta del av uppgifter om en patient är att han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, se
4 kap. 1 §. Först då är befattningshavaren behörig att få tillgång till uppgifterna. Angående den inre sekretessen se vidare 4 kap. 1 §.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven betydelse.
Beteckning Betydelse Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder.
Patientjournal En eller flera journalhandlingar som rör samma patient.
Sammanhållen journalföring En gemensam databas eller ett annat elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
Vård Vård, undersökning och behandling inom hälso- och sjukvården.
Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.
Paragrafen innehåller definitioner av vissa i patientdatalagen centrala begrepp. Innebörden av begreppen hälso- och sjukvård, vård och vårdgivare berörs närmare i avsnittet om lagens tillämpningsområde, 7.3.2. Vårdgivarbegreppet motsvarar i huvudsak det som används i patientskadelagen (1996:799). Det är alltså den juridiska personen landstinget och kommunen som är vårdgivare då dessa organ ansvarar för hälso- och sjukvården; inte den nämnd, myndighet, som ansvarar för eller utför hälso- och sjukvården. Även sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande är vårdgivare. Begreppen journalhandling och patientjournal överensstämmer i sak med hur begreppen definieras i 2 § patientjournallagen (1985:562). Begreppen har dock fått en något annan språklig utformning. En patientjournal behöver, liksom i dag, inte härröra från en och samma vårdgivare. Att några av begreppen i patientdatalagen inte definieras på exakt samma sätt som i Socialstyrelsens Termbank beror på att begreppen måste ansluta till patientdatalagens och närliggande lagars tillämpningsområden. Bestämmelser om sammanhållen journalföring finns i 6 kap.
Förhållandet till personuppgiftslagen
4 § Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag.
Paragrafen har behandlats i avsnitt 7.3.3. I paragrafen anges förhållandet mellan personuppgiftslagen (1998:204) och patientdatalagen på så sätt att personuppgiftslagen gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller
delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier om inget annat sägs i patientdatalagen. Patientdatalagen innehåller således enbart de särbestämmelser och förtydliganden som det bedömts föreligga behov av. I övrigt skall personuppgiftslagen tillämpas. Följaktligen kan åtskilliga bestämmelser i personuppgiftslagen bli tillämpliga vid personuppgiftsbehandling hos hälso- och sjukvården. Det innebär exempelvis att de begrepp som används i patientdatalagen, t.ex. ”behandling” av personuppgifter och ”personuppgifter” har den innebörd som framgår av definitioner i 3 § personuppgiftslagen. När det gäller personuppgifter, se dock 1 § andra stycket. Ytterligare exempel på bestämmelser i personuppgiftslagen som är tillämpliga är 8 § personuppgiftslagen, enligt vilken personuppgiftslagen inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmelserna om offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Samma paragraf innebär att en myndighet utan hinder av personuppgiftslagen får arkivera och bevara allmänna handlingar. Även 9 § personuppgiftslagen, som innehåller regler om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter, gäller då personuppgifter behandlas enligt patientdatalagen. I 30–32 §§personuppgiftslagen finns bestämmelser om säkerheten vid behandling av personuppgifter. Dessa bestämmelser gäller utöver patientdatalagens bestämmelser om informationssäkerhet. Av intresse är också 33–35 §§personuppgiftslagen, som reglerar överföringen av personuppgifter till tredje land.
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Kapitlets tillämpningsområde
1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.
Paragrafen har behandlats i avsnitt 7.3.2 och 8.1. Enligt paragrafen skall vissa grundläggande bestämmelser om personuppgiftsbehandling – nämligen bestämmelser om den enskildes inställning till personuppgiftsbehandling, ändamål för personuppgiftsbehandlingen,
personuppgiftsansvar, personuppgifter som får behandlas och sökbegrepp – som finns intagna i detta kapitel tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna skall tillämpas inte bara på personuppgiftsbehandling i särskilda register eller databaser utan omfattar all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom hälso- och sjukvården. Bestämmelserna skall vidare tillämpas på viss manuell behandling i register, nämligen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Viss vägledning om i vilka fall manuell behandling kan omfattas av patientdatalagen ges i RÅ 2001 ref. 35.
Den enskildes inställning till personuppgiftsbehandling
2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.
I 4 kap. 4 §, 6 kap. och 7 kap. 2 § finns bestämmelser om att en personuppgiftsbehandling inte är tillåten om patienten motsätter sig den eller inte samtycker till den.
Paragrafen har behandlats i avsnitt 8.5.3. Enligt paragrafen får som huvudregel personuppgiftsbehandling, som är tillåten enligt patientdatalagen, utföras även om den enskilde motsätter sig den. Bestämmelsen skall ses mot bakgrund av artikel 14 a i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som föreskriver att den enskilde åtminstone i vissa fall skall garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. Här föreskrivs alltså som huvudregel att personuppgiftsbehandling enligt patientdatalagen är tillåten även om den enskilde motsätter sig den. Av paragrafen framgår emellertid att det kan finnas bestämmelser som ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av patientdatalagen. I andra stycket hänvisas till några sådana bestämmelser i patientdatalagen. I 4 kap. 4 § finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten (inre sek-
retess). Av 6 kap. framgår att en patient på olika sätt har inflytande över huruvida uppgifter om patienten skall vara tillgängliga vid sammanhållen journalföring. I 7 kap. 2 § föreskrivs att en patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister. Ytterligare exempel på bestämmelser om att en enskild kan motsätta sig personuppgiftsbehandling enligt patientdatalagen finns i förordningen (1986:198) om provtagning för infektion av HIV. Enligt förordningen kan en patient begära att få vara anonym vid provtagning. Förordningen ger alltså patienten en viss möjlighet att motsätta sig personuppgiftsbehandling av namn och personnummer.
3 § En behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.
Av 6 kap. 5 § framgår att den enskilde i ett visst fall inte kan samtycka till en behandling av personuppgifter som inte är tillåten enligt denna lag.
Regeringen får föreskriva att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.
Paragrafen har behandlats i avsnitt 8.5.3. Första stycket innebär ett klargörande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt patientdatalagen får utföras, om den enskilde uttryckligen har samtyckt till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller av förordning. Paragrafen kan sägas ge uttryck för principen att en enskilds frivilliga samtycke till en viss personuppgiftsbehandling normalt skall respekteras. Huvudregeln i förevarande paragraf innebär således exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning (se 4 §), om den enskilde har lämnat ett uttryckligt samtycke till detta. Något skriftligt samtycke från den enskilde fordras i och för sig inte, men det kan många gånger vara lämpligt att ha ett sådant för att förebygga eventuella framtida tvister. Huvudregeln gäller dock inte om annat framgår av patientdatalagen, annan lag eller förordning. I andra stycket erinras om en sådan föreskrift i patientdatalagen.
I andra stycket finns en hänvisning till 6 kap. 5 §, som innebär ett undantag från huvudregeln i första stycket. Av den paragrafen följer
att en patient inte kan samtycka till att den som arbetar hos en vårdgivare får bereda sig tillgång till personuppgifter som är tillgängliga genom sammanhållen journalföring annat än under de förutsättningar som anges i 6 kap. 3 och 4 §§.
Enligt tredje stycket får regeringen föreskriva ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandling i strid mot patientdatalagen.
Ändamål för personuppgiftsbehandlingen
4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
6. framställning av statistik rörande hälso- och sjukvård. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvalitetsregister.
Paragrafen har utförligt redovisats i avsnitt 8.2. I paragrafens första stycke anges de primära ändamålen, alltså sådana ändamål som tar sikte på den egentliga kärnverksamheten inom hälso- och sjukvården. De primära ändamålen beskriver personuppgiftsbehandlingar som normalt äger rum i varje sjukvårdshuvudmans verksamhet. De angivna ändamålen avser inte bara den individinriktade hälso- och sjukvårdsverksamheten utan också sådana särskilda ändamål som faller vid sidan av den individinriktade verksamheten. Syftet med att ange ändamål är att slå fast en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. Utgångspunkten är således att endast sådan personuppgiftsbehandling får äga rum som inryms i något eller några av de uppräknade ändamålen (se dock 5 §). Inom denna ram måste vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål. Det följer av 9 § första stycket c
personuppgiftslagen (1998:204) om att ändamålen skall vara särskilda. Hur långt konkretionen och preciseringen skall sträcka sig får bedömas från fall till fall. Det är naturligtvis skillnad om ett enda gemensamt journal- och patientadministrativt system införs eller om ett tillfälligt uppföljningsregister inrättas. I det sistnämnda fallet bör uttryckligen bestämmas att registret får användas endast som underlag för den aktuella uppföljningen. De ändamål som anges i punkterna 1 och 2 kan beskrivas som vårddokumentation. Att ändamålen tas upp i två punkter och inte i en enda har ingen saklig betydelse. Det är enbart av språkliga skäl som uppdelningen i två punkter har gjorts. Båda punkterna tar sikte på den individinriktade patientverksamheten. En viktig bas i denna informationshantering är patientjournalhanteringen och den administration som behövs av patientvården. Med administration i punkt 2 avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall. Punkt 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra enligt olika författningar. Exempel härpå är dokumentation enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus och bestämmelsen om rapporteringsskyldighet till vårdgivare i 2 kap. 7 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område (Lex-Maria). Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården skall lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning av dem. I dessa fall handlar det endast om en behandling för det ändamål som anges i 5 §, alltså behandling för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ibland kan emellertid uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten skall fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Personuppgiftsbehandling av nu beskrivet slag kan bli aktuell exempelvis då uppgiftsskyldighet skall fullgöras enligt 14 kap. 1 § socialtjänstlagen (2001:453) samt 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen. Punkten 4 avser kvalitetssäkring. Kravet på hälso- och sjukvården att kvalitetssäkra framgår av 31 § hälso- och sjukvårdslagen (1982:763), som föreskriver att kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande skall utvecklas och säkras. I 16 § tandvårdslagen
(1985:125) finns en motsvarande bestämmelse om kvalitetssäkring när det gäller tandvården. Att kvalitetssäkring tas upp som en särskild punkt beror bl.a. på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister, se 7 kap. Punkten 5 innebär att den personuppgiftsansvarige fortlöpande eller vid särskilda tillfällen kan administrera, planera, följa upp, utvärdera och utöva tillsyn av verksamheten på olika nivåer. Den administration och planering som avses här sker på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter, se närmare härom avsnitt 15. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vårdgivaren skall kunna bedriva tillsyn av sin verksamhet. Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Här åsyftas inte s.k. verksamhetsstatistik, som ryms inom ändamålet i punkt 5, utan annan statistik, exempelvis sådan som landstingen tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten. För en närmare redovisning av innehållet i de olika punkterna hänvisas till avsnitt 8.2.3.
Inget hinder möter mot att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med de ändamål som anges i första stycket (se 5 §).
I andra stycket erinras om att det finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvalitetsregister, se 7 kap. 4 och 5 §§.
5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Paragrafen har behandlats i avsnitt 8.2. I paragrafen regleras till en början sådant utlämnande av personuppgifter som redan finns i verksamheten därför att de har samlats in för primära ändamål, vanligtvis
för vårddokumentation. Sådant uppgiftslämnande kan ske med stöd av 14 kap. 1 § sekretesslagen (1980:100), som föreskriver att sekretess inte hindrar att uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Ett annat exempel är 14 kap. 2 § sekretesslagen, som bl.a. tillåter myndigheter inom hälso- och sjukvården att under vissa förutsättningar lämna ut personuppgifter till andra myndigheter. Här kan också nämnas 15 kap. 5 § sekretesslagen, som innebär att en myndighet på begäran av en annan myndighet skall lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Vidare finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område bestämmelser om utlämnande av uppgifter, se 2 kap. 9 och 11 §§. Självklart skall bestämmelserna i 2 kap. tryckfrihetsförordningen om skyldigheten att lämna ut allmänna handlingar tillämpas före patientdatalagen, se 8 § personuppgiftslagen (1998:204). I paragrafen klargörs vidare genom en uttrycklig hänvisning till personuppgiftslagen (1998:204) att den s.k. finalitetsprincipen gäller även vid personuppgiftsbehandling enligt patientdatalagen. Att finalitetsprincipen är tillämplig innebär att personuppgifter som redan finns i hälso- och sjukvårdsverksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen. Genom hänvisningen klargörs vidare att insamlade personuppgifter också får behandlas för historiska, statistiska eller vetenskapliga ändamål. Behandling för forskningsändamål av tidigare insamlade personuppgifter får således ske utan att det behöver anges som ett särskilt ändamål. Även om sådan personuppgiftsbehandling är tillåten gäller dock lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav på etikprövning. Personuppgiftsbehandlingen inom forskningsprojekt regleras av personuppgiftslagen.
Personuppgiftsansvar
6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.
Paragrafen har behandlats i avsnitt 8.3. Enligt första stycket är en vårdgivare ansvarig för den behandling av personuppgifter som vårdgivaren utför. Med detta menas den personuppgiftsbehandling som sker inom ramen för vårdgivarens verksamhet och som vårdgivaren ansvarar för. Av definitionen av begreppet vårdgivare i 1 kap. 3 § framgår, när det gäller den hälso- och sjukvård som landstingen och kommunerna ansvarar för, att med vårdgivare avses den juridiska personen som sådan, dvs. landstinget och kommunen, inte den eller de myndigheter inom landstinget och kommunen som ansvarar för eller utför hälso- och sjukvård. Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgiftsansvarig. I stället är det den myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. När det gäller den enskilda hälso- och sjukvården avses med vårdgivare inte den enskilde yrkesutövaren utan den juridiska eller fysiska person som bedriver och ansvarar för hälso- och sjukvårdsverksamheten. Definitionen av vårdgivare omfattar också sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Av andra stycket framgår att det finns särskilda bestämmelser om personuppgiftsansvar vid sammanhållen journalföring (6 kap. 6 §) och vid personuppgiftsbehandling i nationella och regionala kvalitetsregister (7 kap. 7 §).
Personuppgifter som får behandlas
7 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas. Även en vårdgivare som inte är myndighet får behandla sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).
Paragrafen har behandlats i avsnitt 8.4. Enligt paragrafen får endast sådana personuppgifter som behövs för ändamål som anges i 4 § samlas in och vidare behandlas med stöd av patientdatalagen. Alla personuppgifter som behövs för det ändamål för vilket en behandling utförs får alltså behandlas. Kravet på att personuppgifterna skall behövas för att få behandlas innebär att endast sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas. Uppgifter som inte behövs för ändamålen får alltså inte behandlas. De personuppgifter som får behandlas enligt
paragrafen gäller även sådana personuppgiftskategorier som särregleras i personuppgiftslagen (1998:204), dvs. känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). I paragrafen nämns särskilt sådana personuppgifter som avses i 21 § personuppgiftslagen. Syftet med detta är att klargöra att även en privat vårdgivare skall kunna behandla personuppgifter av detta slag. När det gäller frågan vilka personuppgifter som får behandlas måste även personuppgiftslagens grundläggande krav på att personuppgifterna skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen iakttas. Kraven innebär också att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas skall vara riktiga och, om nödvändigt, aktuella (9 § e-g). Ovidkommande eller onödigt många personuppgifter i förhållande till ändamålen får alltså inte behandlas. Inte heller får uppgifter som direkt pekar ut enskilda, t.ex. personnummer, användas om det är tillräckligt för ändamålet att använda uppgifter som bara indirekt kan härledas till en viss person.
Särskilt viktig är bestämmelsen i personuppgiftslagen att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen vid sammanhållen journalföring, som innebär att en vårdgivare under vissa förutsättningar har direktåtkomst till andra vårdgivares vårddokumentation (se 6 kap.). Konstruktionen med direktåtkomst vid sammanhållen journalföring innebär att det normalt inte skall vara nödvändigt att ladda ner kopior av andra vårdgivares journalhandlingar och bifoga dem till den egna journalföringen. Om en sådan nedladdning och lagring inte bedöms som nödvändig, är den inte tillåten på grund av den aktuella bestämmelsen i personuppgiftslagen. Begreppen ”behövs” i förevarande paragraf och ”nödvändig” i personuppgiftslagen har i huvudsak samma innebörd.
Sökbegrepp
8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Regeringen får föreskriva att ett landsting eller en kommun, utan hinder av vad som anges i första stycket, får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
Paragrafen, som i huvudsak motsvarar 7 § lagen (1998:544) om vårdregister, har behandlats i avsnitt 8.6. I första stycket anges som huvudregel att vissa personuppgifter inte får användas som sökbegrepp. Med sökbegrepp brukar man i den s.k. registerlagstiftningen avse begrepp som används som urvalskriterier för att söka fram handlingar som innehåller det aktuella begreppet eller för att med begreppet som utgångspunkt göra sammanställningar av olika slag. Till en början nämns känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204). Härmed avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör sexualliv. Förbjudna sökbegrepp är vidare personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövande, se 21 § personuppgiftslagen. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.
I andra stycket föreskrivs vissa undantag från förbudet i första stycket. Det är således trots förbudet tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Uppgifter som rör hälsa kan behöva användas som sökbegrepp för att man snabbt och effektivt skall kunna finna relevanta journalanteckningar från en patients tidigare vårdtillfällen. Förutom i det individinriktade arbetet kan det vid t.ex. verksamhetsuppföljningar vara nödvändigt att göra sammanställningar utifrån sökkriterier som diagnoser och liknande. I sådana sammanhang kan det också vara nödvändigt att som sökbegrepp använda uppgifter om frihetsberövande inom psykiatrin och rättspsykiatrin. Även vid verksamhetsplanering – t.ex. då man undersöker framtida tillströmningar av olika
patientkategorier – kan det vara nödvändigt att använda sökbegrepp som rör hälsa.
Enligt tredje stycket får regeringen föreskriva att ett landsting eller en kommun får använda uppgifter om etnicitet, uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) som sökbegrepp för att göra vissa slags sammanställningar. Bakgrunden till att etnicitet skall kunna få användas som sökbegrepp är att t.ex. landstingen kan behöva planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver. Behov kan också uppstå av att använda uppgifter om bistånd och andra insatser inom socialtjänsten som sökbegrepp. Sammanställningar som grundar sig på åtgärder enligt utlänningslagen kan behöva göras för att landstingen skall kunna begära ersättning av staten för vårdinsatser åt asylsökande m.fl. enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande eller förordningen (2002:1118) om statlig ersättning för asylsökande m.fl.
3 kap. Skyldigheten att föra patientjournal
Inledande bestämmelse
1 § Vid vård av patienter skall föras patientjournal. Patientjournal skall föras för varje patient och får inte vara gemensam för flera patienter.
I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring.
Första stycket, som har behandlats i avsnitt 10.4.3, överensstämmer med 1 § första stycket patientjournallagen (1985:562). I andra stycket finns en hänvisning till 6 kap. patientdatalagen, som innehåller bestämmelser om sammanhållen journalföring.
Personer som är skyldiga att föra patientjournal
2 § Skyldig att föra patientjournal är
1. den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke,
2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykoterapeut inom
den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,
3. den som är verksam som kurator i den allmänna hälso- och sjukvården.
Paragrafen överensstämmer med 9 § första stycket patientjournallagen (1985:562). Arbetsuppgifter, exempelvis journalföring, kan under vissa förutsättningar överlåtas till annan person än som nämns i paragrafen, se 2 kap. 6 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Den som delegerar en arbetsuppgift är ansvarig för att den som tar emot uppgiften kan fullgöra den. Den som får uppgiften genom delegering är själv ansvarig för hur den fullgörs.
Ansvar för uppgifter i patientjournal
3 § Den som för patientjournal svarar för sina uppgifter i journalen.
Paragrafen överensstämmer med 9 § andra stycket patientjournallagen (1985:562).
Patientjournalens innehåll
4 § En patientjournal får endast innehålla de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.
Paragrafen, som har behandlats i avsnitt 10.4.4., anger vilken information som en patientjournal maximalt får innehålla. Paragrafen motsvarar i huvudsak 5 § lagen (1998:544) om vårdregister men gäller även manuellt förda journaler. Den här paragrafen i patientdatalagen innebär att en journal givetvis får innehålla alla de uppgifter som enligt patientdatalagen, annan lag eller annan författning skall antecknas i en patientjournal. Hit hör även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Av paragrafen följer vidare att även andra uppgifter som behövs för vårddokumentationen får antecknas i en journal. Uppgifter som inte behövs för vårddokumentation får däremot inte föras in i en journal, t.ex. uppgifter som kan vara bra att ha för andra ändamål.
5 § En patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten.
Om uppgifterna föreligger, skall en patientjournal alltid innehålla
1. uppgift om patientens identitet,
2. väsentliga uppgifter om bakgrunden till vården,
3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,
4. väsentliga uppgifter om vidtagna och planerade åtgärder, och
5. uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.
Patientjournalen skall vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.
Paragrafen, som har behandlats i avsnitt 10.4.4, överensstämmer i huvudsak med 3 § patientjournallagen (1985:562) och anger vilken information som en patientjournal minimalt skall innehålla. Bestämmelser om att en patientjournal skall innehålla uppgift om information och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. har flyttats från patientjournallagen till 3 kap. 7 § förstnämnda lag. Bestämmelser om signeringskrav finns i 9 och 11 §§. Kraven på att journalen skall innehålla de uppgifter som behövs för en god och säker vård innebär inget krav på att varje vårdgivare vid sammanhållen journalföring måste ha kompletta uppgifter. En av poängerna med den sammanhållna journalföringen är att dubbeldokumentation skall undvikas, se avsnitt 11.7.3.
6 § I lag eller förordning finns, för vissa fall, regler om att en patientjournal skall innehålla ytterligare uppgifter.
Paragrafen innehåller en erinran om att det i annan lag än patientdatalagen och i förordning kan finnas ytterligare föreskrifter om vad en patientjournal skall innehålla. Exempel på sådana föreskrifter är 3 kap. 7 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m., se lagförslag i avsnitt 21.4, 4 kap. 2 § smittskyddslagen (2004:168) och 2 § förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård.
7 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall det antecknas i journalen.
Bestämmelsen, som har behandlats i avsnitt 10.4.4, saknar inom hälso- och sjukvården motsvarighet i dag. För att rättelse av en journaluppgift skall ske på patientens begäran krävs att patienten och den som ansvarar för uppgiften är ense om felaktigheten. En patients möjlighet att få journaluppgifter utplånade är i realiteten ganska små eller i vart fall omständliga (se 8 kap. 3 § om förstörande av patientjournal som motsvarar 17 § patientjournallagen
[
1985:562]). Den
här aktuella bestämmelsen kompletterar bestämmelserna om rättelse och journalförstöring. Den ger den enskilda patienten en möjlighet att markera att han eller hon har en avvikande uppfattning från vad som har antecknats i journalen. Det är fullt tillräckligt att det av anteckningen framgår att patienten har en avvikande uppfattning. Vilken uppfattning patienten har behöver således inte på grund av denna bestämmelse redovisas. Bestämmelsen innebär ingen rätt för patienten att själv skriva i sin journal eller bestämma vad som skall stå i den.
8 § Uppgifter som skall antecknas enligt 5-7 §§ skall föras in i journalen så snart det kan ske.
Paragrafen överensstämmer med 3 § första stycket andra meningen patientjournallagen (1985:562).
9 § En journalanteckning skall om inte synnerligt hinder möter signeras av den som svarar för uppgiften.
Paragrafen, som har behandlats i avsnitt 10.4.4., överensstämmer med 3 § fjärde stycket patientjournallagen (1985:562). I 11 § ges dock regeringen, eller den myndighet som regeringen bestämmer, rätt att meddela föreskrifter om undantag från signeringskravet.
10 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.
Första meningen motsvarar 7 § andra stycket patientjournallagen (1985:562). I andra meningen, som saknar motsvarighet i dag, finns ett undantag från dokumenteringskravet, nämligen om det är fråga om ett utlämnande genom direktåtkomst. Med begreppet direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens organisation, se avsnitt 8.7. Undantaget blir tillämpligt vid sammanhållen journalföring, se 6 kap. En patient kan hos en vårdgivare, som deltar i ett sammanhållet journalföringssystem över vårdgivargränser, motsätta sig att uppgifterna om honom eller henne görs tillgängliga för övriga vårdgivare i systemet. Om patienten däremot inte motsätter sig detta, blir uppgifterna utlämnade i den mening som anges i paragrafen. Någon anteckning om ett sådant utlämnande behöver till följd av andra meningen inte göras i patientjournalen. Undantaget i andra meningen är också tillämpligt då en enskild har direktåtkomst till uppgifter om sig själv som finns hos en vårdgivare, se 5 kap. 5 §. Att den enskilde medges direktåtkomst till uppgifterna innebär att uppgifterna anses utlämnade till denne.
11 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva undantag från bestämmelsen i 5 § andra stycket 1 såvitt gäller provtagning för viss sjukdom och från bestämmelsen om signeringskrav i 9 §.
Regeringen, eller den myndighet som regeringen bestämmer, får också meddela ytterligare föreskrifter om en journalhandlings innehåll och utformning.
I första stycket bemyndigas regeringen, eller den myndighet regeringen bestämmer, att meddela undantag från bestämmelsen att en patientjournal alltid skall innehålla uppgift om en patients identitet såvitt gäller provtagning för viss sjukdom och från bestämmelsen att en journalhandling skall, om inte synnerligt hinder möter, signeras av den som svarar för uppgiften. Det förstnämnda bemyndigandet motsvaras av 18 § 1 patientjournallagen (1985:562). Det andra bemyndigandet, som har behandlats i avsnitt 10.4.4, är nytt. Tanken är att Socialstyrelsen skall föreskriva när signering kan underlåtas utan risker för patientsäkerheten. En avvägning skall göras mellan nyttan av signering och det merarbete i vården som signeringskravet innebär.
Andra stycket motsvarar i huvudsak 19 § patientjournallagen (1985:562). När det gäller hantering och förvaring av journalhandlingar se 14 §.
Språket i patientjournaler
12 § De journalhandlingar som upprättas inom hälso- och sjukvården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten.
Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att en sådan journalhandling får vara skriven på ett annat språk än svenska.
Paragrafen har behandlats i avsnitt 10.4.5. Den överensstämmer med 5 § och 18 § 2 patientjournallagen (1985:562).
Hantering av journalhandlingar
13 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 3 §.
Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den.
Paragrafen, som har behandlats i avsnitt 10.4.6, överensstämmer med 6 § patientjournallagen (1985:562). I 8 kap. 6 § samt 28 §personuppgiftslagen (1998:204) finns bestämmelser om att en personuppgiftsansvarig på begäran av en registrerad skall rätta personuppgifter som inte har behandlats i enlighet med patientdatalagen respektive personuppgiftslagen. I 9 § första stycket h personuppgiftslagen finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ skall vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Rättelser av här berört slag får dock inte strida mot bestämmelserna i denna paragraf.
14 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva hur journalhandlingar skall hanteras och förvaras.
Paragrafen motsvarar delvis 19 § patientjournallagen (1985:562). Journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen fyller också andra viktiga funktioner. Det är mot denna bakgrund nödvändigt att journalhandlingar hanteras och förvaras så att de skyddas mot förstörelse, skada och tillgrepp eller annan obehörig åtkomst. Härav följer bl.a. att journal-
handlingarna måste förvaras i säkra lokaler med lämplig inredning. Brand- och vattenskador skall förebyggas. Tillgången till journaler måste vidare ordnas så att inte handlingarna tillgrips eller förstörs. För den allmänna hälso- och sjukvården finns motsvarande bestämmelser i arkivlagen (1990:782). Elektroniska journaler skall skyddas mot obehörig åtkomst. Det sistnämnda innebär inte bara att rutiner måste finnas för vem som skall få ha elektronisk åtkomst, hur åtkomsten skall kontrolleras etc. Sådana regler finns i 4 kap. Regler bör exempelvis finnas om att datorer skall låsas då ingen har tillsynen över dem för att förhindra att obehöriga kan ta del av journalinformation. Regler och råd av här berört slag finns i dag i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen. Närmare föreskrifter om hur journalhandlingar skall hanteras och förvaras förutsätts även fortsättningsvis tas in i författningar av lägre valör än lag. Därför innehåller paragrafen endast ett bemyndigande för regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter i ämnet. I första hand bör det liksom i dag ankomma på Socialstyrelsen att meddela sådana föreskrifter. Om föreskrifterna tar sikte på exempelvis generella krav på säkerhetsåtgärder vid personuppgiftsbehandling bör Socialstyrelsen samråda med Datainspektionen innan föreskrifterna beslutas. Enligt 50 § b personuppgiftslagen (1998:204) får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Regeringen har i personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela sådana föreskrifter, se 16 §. I avsnitt 18.4 behandlas Socialstyrelsens och Datainspektionens tillsynsansvar.
Skyldighet att utfärda intyg om vården
15 § Den som enligt 2 § är skyldig att föra patientjournal skall på begäran av patienten utfärda intyg om vården.
Paragrafen har behandlats i avsnitt 10.4.3. Den överensstämmer med 10 § patientjournallagen (1985:562). Även uppgifter som finns tillgängliga genom den sammanhållna journalföringen får användas vid utfärdande av intyg (se 6 kap.). Den som på patientens begäran skall utfärda intyg om vården får således under vissa förutsättningar bereda sig tillgång till uppgifter som finns tillgängliga i det sammanhållna
journalföringssystemet. Detta gäller oavsett om intygsutfärdaren har en aktuell patientrelation med patienten i fråga eller ej, se 6 kap. 3 §.
Bevarande av journalhandlingar
16 § En journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år.
Om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns det särskilda föreskrifter i 9 kap. 4 §.
I lag finns, för vissa fall, regler om att journalhandlingar skall bevaras under en längre tid än minst tre år.
Paragrafen, som har behandlats i avsnitt 10.4.7, överensstämmer i huvudsak med 8 § första stycket patientjournallagen (1985:562). Paragrafen innebär således i sak ingen ändring i förhållande till gällande rätt. Bemyndigandet i första stycket gör det möjligt för regeringen, eller den myndighet som regeringen bestämmer, att föreskriva en längre minsta bevarandetid. Sådana föreskrifter finns i dag i förordningen (1986:203) om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjukvården. Det kan i framtiden bli aktuellt med längre bevarandetid även för andra slags journalhandlingar. Ett exempel då bemyndigandet kan utnyttjas gäller den sammanhållna journalföringen. Det kan vara lämpligt att föreskriva att en vårdgivare som deltar i sammanhållen journalföring skall bevara de journalhandlingar som vårdgivaren ansvarar för längre tid än tre år. En anledning till detta kan vara att minska risken för att andra vårdgivare, som bara har tillgång till uppgifterna genom direktåtkomst, ”tankar hem” och lagrar uppgifterna i sitt eget system. I tredje stycket erinras om att det i annan lag finns regler om att journalhandlingar skall bevaras under längre tid än minst tre år. Sådana regler finns i 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m.
17 § För journalhandlingar som utgör allmän handling gäller, med de undantag som följer av 16 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.
Paragrafen överensstämmer med 8 § andra stycket patientjournallagen (1985:562).
Patientjournaler i krig m.m.
18 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.
Paragrafen överensstämmer med 20 § patientjournallagen (1985:562).
4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet
Inre sekretess
1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Paragrafen, som har behandlats i avsnitt 12.4, utgör en precisering av bestämmelsen i 1 kap. 2 § andra stycket såvitt gäller den inre sekretessen och motsvarar i huvudsak 7 § första stycket patientjournallagen (1985:562) och 8 § lagen (1998:544) om vårdregister. Paragrafen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. Bestämmelsen är således teknikoberoende och tillämplig på alla slags dokumenterade personuppgifter om en patient. Den som arbetar hos en vårdgivare får enligt paragrafen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Med vård avses även undersökning och behandling, se 1 kap. 3 §. Regelns tillämpningsområde är inte begränsad enbart till hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på enheten. Bestämmelsen har generell räckvidd och omfattar all personal oavsett var den tjänstgör och oavsett för vilka syften uppgifterna behövs. Regleringen kompletteras genom bestämmelserna i 2 §, som föreskriver ett uttryckligt ansvar för varje vårdgivare att begränsa personalens elektro-
niska åtkomst till uppgifter som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling kan dömas för dataintrång enligt 4 kap. 9 c § brottsbalken. Straffbestämmelsen är tillämplig då någon använder sig av sin behörighet för att läsa uppgifter om en patient utan att detta behövs för arbetet. Läsning i utbildningssyfte för att eftersöka förebilder på lämpliga formuleringar har i rättspraxis bedömts i och för sig kunna utgöra dataintrång (RH 2002:36, det s.k. Blommanfallet).
Varken bestämmelserna i denna paragraf eller någon annan bestämmelse på hälso- och sjukvårdslagstiftningens område innehåller något uttryckligt förbud för hälso- och sjukvårdspersonalen att lämna uppgifter om en patient vidare till sina arbetskamrater ifall det är uppenbart obehövligt för verksamheten. Offentlighets- och sekretesskommittén har emellertid i sitt huvudbetänkande Ny sekretesslag, Del 1, SOU 2003:99, föreslagit att det införs en bestämmelse i sekretesslagen som anger att, om det kan antas att en uppgift inte får lämnas ut från ett sekretessområde på grund av sekretess, uppgiften inte heller får röjas inom sekretessområdet om det är uppenbart obehövligt för verksamheten. Den föreslagna regeln är för närvarande föremål för överväganden i Regeringskansliet. Även om det i dag alltså inte finns någon uttrycklig bestämmelse av här berört slag torde ett sådant uppgiftslämnande till arbetskamrater som inte behövs för verksamheten ofta kunna jämställas med att uppgifter röjs för någon utomstående. Ett sådant röjande av uppgifter kan utgöra ett brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
Tilldelning av behörighet för elektronisk åtkomst
2 § En vårdgivare skall bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om tilldelning av behörighet för åtkomst till uppgifter, som förs helt eller delvis automatiserat.
Paragrafen har behandlats i avsnitt 12.4. Enligt första stycket skall en vårdgivare bestämma villkoren för hur personalen skall tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter. Bestämmelsen, som delvis motsvarar 8 § lagen (1998:544) om vårdregister, är tillämplig på elektronisk patientjournalföring och övrig elektronisk patientdokumentation. Med elektronisk åtkomst, som paragrafen handlar om, avses personalens möjligheter att bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation. Då det i patientdatalagen talas om direktåtkomst avses en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens organisation, se även 5 kap. 4 § och avsnitt 8.7. Det ingår alltså i vårdgivarens ansvar att närmare bestämma villkoren för personalens åtkomst till uppgifterna. Detta gäller oavsett om landstinget eller kommunen bedriver hälso- och sjukvård genom en eller flera myndigheter. Vid sammanhållen journalföring (se 6 kap. 7 §) tilldelas behörighet enligt samma principer, nämligen att varje vårdgivare prövar sin personals åtkomst till andra vårdgivares journaluppgifter i den sammanhållna journalföringen. Behörigheten skall begränsas till vad som behövs för att befattningshavaren skall kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. En vårdgivare måste först fastställa vilka behov som finns innan behörighetsrutinerna bestäms. Bestämmelsen innebär att en vårdgivare skall göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Då villkoren för behörighetstilldelning bestäms måste också riskanalyser göras. Särskilt viktigt är detta då det gäller tillgängligheten till skyddade personuppgifter (alltså främst sådana personuppgifter som blivit spärrmarkerade av Skatteverket), uppgifter om kända personer och uppgifter från vissa mottagningar som kan bedömas som särskilt känsliga i sammanhanget. En generös behörighetstilldelning innebär ofta en obefogad spridning av personuppgifter. Det räcker således inte att i efterhand kontrollera åtkomstlistor för att konstatera eventuella intrång. I stora, brett tillgängliga system skall normalt olika behörighetsnivåer för personalen finnas. Uppgifter bör lagras i olika ”skikt” så att åtkomsten av mer känsliga uppgifter kräver aktiva val. Sådan information får inte vara lika enkelt åtkomlig för personalen som mindre känslig information. Det ingår i varje vårdgivares ansvar att se till att alla anställda får full information om behörighetsreglerna. En närmare reglering som tar sikte på behörighetstilldelning skall finnas i författningar av lägre valör än lag, se andra stycket.
Av andra stycket framgår att regeringen, eller den myndighet som regeringen bestämmer, meddelar närmare föreskrifter i ämnet. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.
Kontroll av elektronisk åtkomst
3 § En vårdgivare skall genomföra åtgärder som innebär att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare skall genomföra systematiska och återkommande kontroller av om obehörig åtkomst till sådana uppgifter förekommer.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.
Paragrafen har behandlats i avsnitt 12.4. Av första stycket följer att en vårdgivare är skyldig att dokumentera personalens elektroniska åtkomst samt att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter har förekommit. Angående begreppet elektronisk åtkomst se bl.a. författningskommentaren till 2 § samt avsnitt 8.7. Skyldigheten att kontrollera elektronisk åtkomst gäller oavsett om landstinget eller kommunen bedriver hälso- och sjukvård genom en eller flera myndigheter. Genom att vårdgivaren blir skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlingshistoriken eller loggen) blir det möjligt att göra kontroller i efterhand. Det räcker emellertid inte att göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppgiftskontroller skall göras systematiskt och fortlöpande. När det gäller sammanhållen journalföring se kommentaren till 6 kap. 7 §. Av 8 kap. 4 § framgår att en patient har rätt att på begäran få information om vilken direktåtkomst och elektronisk åtkomst som har förekommit till elektroniskt behandlade uppgifter om honom eller henne.
Patientdatalagen anger inte närmare hur åtkomstkontrollerna skall ske. Sådana föreskrifter skall meddelas på myndighetsnivå. Av andra stycket framgår att ytterligare föreskrifter i ämnet får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det skall vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen. Dessa föreskrifter
bör omfatta inte bara hur kontroller skall utföras utan bör också närmare reglera omfattningen av åtkomstdokumentationen och hur länge den skall sparas. Bestämmelserna kan röra när och av vem en slagning skett i ett elektroniskt system och när en utskrift från en journalhandling gjorts eller, vid sammanhållen journalföring, när en kopia av en journalhandling har laddats ner till en vårdgivare som använt sin direktåtkomst till annan vårdgivares journalhandling. Föreskrifterna kan också ta sikte på åtkomst via Internet.
Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte
4 § Personuppgifter, som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess, får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall skall uppgiften genast spärras.
Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna.
Paragrafen har behandlats i avsnitt 12.4. I första stycket ges patienter en rätt att begära att vårddokumentation spärras från elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Patienten ges genom denna regel ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet skall ses som ett utflöde av föreskriften i 2 a § hälso- och sjukvårdslagen (1982:763) om att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Det är en förtroendefråga att regleringen av personuppgiftsbehandlingen står i samklang med dessa principer. Spärren gäller endast om uppgiften behövs för vård. Det följer av att det i paragrafen talas om en annan vårdenhet och vårdprocess. Uppgifterna är däremot tillgängliga om vårdgivaren behöver dem exempelvis för kvalitetssäkring av hälso- och sjukvården eller för administration, planering etc. av verksamheten, jfr 2 kap. 4 § första stycket 4 och 5. Begreppen vårdenhet eller vårdprocess är inte definierade i patientdatalagen. I Socialstyrelsens Termbank definieras vårdenhet som ”organisatorisk enhet som tillhandahåller
hälso- och sjukvård”. Det anmärks att varje huvudman avgör avgränsningen i det enskilda fallet. Vårdprocess definieras i Termbanken som ”följd av aktiviteter eller åtgärder som utförs för en patient, avseende ett visst hälsoproblem, mellan inkommen vårdbegäran och avslag av vårdbegäran eller avslut av vårdåtagande”. Avgränsningen av en vårdprocess är således funktionell och inte organisatorisk såsom beträffande vårdenhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som tillsammans bildar en funktionell enhetlighet. Ofta utgör de privata vårdgivarna en enda enhet. Detta gäller dock inte Praktikertjänst AB, som bedriver verksamhet på många mottagningar spridda över landet. Mottagningarna bör kunna ses som olika enheter. Inom den allmänna hälso- och sjukvården är det naturligt att se varje vårdcentral som en enhet. Ett sjukhus är däremot normalt inte en enda enhet. Hur gränserna närmare skall dras inom en vårdgivares verksamhet bestäms ytterst av varje vårdgivare själv med utgångspunkt i vad som föreskrivs i denna paragraf. Det är självklart att gränserna – inom ramen för vad paragrafen föreskriver – skall dras på ett praktiskt och rimligt sätt för vårdgivaren så att verksamheten inte tyngs med onödig administration. Även inom en vårdenhet eller vårdprocess gäller naturligtvis att endast den befattningshavare skall anses behörig att ta del av uppgifter om en patient som deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete.
En patient kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts tillgängliga utanför vårdenheten eller vårdprocessen. Uppgifterna får då inte längre göras tillgängliga för andra vårdenheter eller vårdprocesser hos vårdgivaren.
Att uppgifter spärras innebär att de inte finns tillgängliga för andra vårdenheter alternativt vårdprocesser genom elektronisk åtkomst. Med elektronisk åtkomst avses i patientdatalagen personalens möjligheter att elektroniskt bereda sig tillgång till personuppgifter som finns tillgängliga inom vårdgivarens organisation. Någon prövning på förhand av huruvida uppgifterna bör lämnas till den som vill ha tillgång till dem görs bara av den som själv efterfrågar uppgifterna, se vidare avsnitt 8.7. Paragrafen hindrar i och för sig inte att spärrade uppgifter görs tillgängliga för annan vårdenhet eller vårdprocess genom användning av exempelvis e-post eller på diskett och cdrom. I sådana fall kan alltid den som har den efterfrågade informationen göra en prövning huruvida informationen bör tillhandahållas den som vill ha informationen. Om en patient har klargjort att han
eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Att så är fallet får anses följa av den ovan redovisade bestämmelsen i 2 a § hälso- och sjukvårdslagen om respekten för patientens självbestämmande. I JO 1986/87 s. 198 framhåller JO med hänvisning bl.a. till patientens självbestämmande att patientens uttryckliga önskemål i frågan om hans eller hennes journaler skall lämnas mellan kliniker skall respekteras.
Enligt andra stycket får dock uppgift om att det finns spärrade uppgifter vara tillgänglig liksom även uppgift om vilken vårdenhet eller vårdprocess som har spärrat uppgifterna. Skälet till att denna information får vara tillgänglig är att en spärr kan hävas, om patientens samtycke inte kan inhämtas och de spärrade uppgifterna kan antas ha betydelse för att patienten skall kunna få vård och behandling som han eller hon oundgängligen behöver, se 5 §. Genom att befattningshavaren vet vilken vårdenhet eller vårdprocess som har spärrat uppgifterna får han eller hon visst ytterligare underlag för bedömningen huruvida de spärrade uppgifterna kan ha betydelse för den vård som patienten oundgängligen behöver. Information om att det finns spärrade uppgifter om barn kan också ge anledning till extra vaksamhet samt övervägande om en anmälan skall göras till socialnämnden för att barnet skall få erforderligt skydd, 14 kap. 1 § socialtjänstlagen (2001:453). Dessa skäl har ansetts väga över den integritetskränkning som kan uppstå till följd av att det framgår vilken vårdenhet eller vårdprocess som spärren avser.
5 § En spärr enligt 4 § får hävas av en behörig befattningshavare hos vårdgivaren, om
– patienten samtycker till det, eller – patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Paragrafen har behandlats i avsnitt 12.4. I paragrafen föreskrivs att den spärr som en patient har begärt enligt 4 § med patientens samtycke kan hävas av behörig befattningshavare hos vårdgivaren. Vem som är behörig befattningshavare bestäms av vårdgivarna själva. Rätten att häva spärren är inte begränsad till någon viss vårdenhet eller vårdprocess hos vårdgivaren. Spärren kan till en början hävas när patienten själv samtycker till det. Här räcker det alltså inte med att patienten inte motsätter sig att behörig personal vid en annan
vårdenhet eller vårdprocess tar del av uppgifterna. Det fordras ett samtycke från patientens sida. Det skall vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), dvs. det skall vara frivilligt, särskilt och otvetydigt. Angående dessa begrepps innebörd, se författningskommentaren till 6 kap. 3 §. Samtycket kan lämnas när som helst av patienten. Det behöver alltså inte ske i samband med något vårdtillfälle. Vidare kan spärren forceras av en annan vårdenhet eller vårdprocess, t.ex. akuten, om informationen kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver. En förutsättning härför är att något samtycke inte kan inhämtas. Det kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. Om patienten i ett sådant läge är oundgängligen i behov av vård eller behandling, får alltså spärren hävas av behörig befattningshavare vid en annan vårdenhet eller vårdprocess. Det skall i princip vara fråga om en allvarlig akutsituation, då patienten på grund av sitt hälsotillstånd eller andra skäl inte kan ta ställning till samtyckesfrågan och då uppgifterna bedöms vara av vital betydelse för de vård- eller behandlingsinsatser som omgående måste sättas in. Det skall alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten skall kunna lämna sitt samtycke. En patient som i detta senare skede vidhåller en spärr och alltså motsätter sig att någon utanför vårdenheten eller vårdprocessen tar del av uppgifterna, skall respekteras hur ogrundad eller irrationell patientens inställning än kan tyckas vara.
5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet
Bestämmelser i andra lagar
1 § Om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns bestämmelser i tryckfrihetsförordningen och sekretesslagen (1980:100).
I paragrafen, som delvis motsvarar 15 § första stycket patientjournallagen (1985:562), erinras om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och hos sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100) och begränsningarna i denna rätt enligt tryckfrihetsförordningen
och sekretesslagen. Med kommunala företag åsyftas här bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser som kan begränsa möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.
I paragrafen, som delvis motsvarar 12 § lagen (1998:544) om vårdregister, hänvisas till att bestämmelser om tystnadsplikt finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, se t.ex. 2 kap. 8 §.
Myndighets uppgiftsskyldighet avseende journal upprättad inom enskild hälso- och sjukvård
3 § En myndighet som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.
Paragrafen motsvarar 15 § andra stycket patientjournallagen (1985:562).
Utlämnande genom direktåtkomst
4 § Direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av annan sådan myndighet i samma landsting eller kommun. Ytterligare bestämmelser om direktåtkomst finns i denna lag i 5 §, 6 kap. och 7 kap. 9 §.
Paragrafen har behandlats i avsnitt 8.7 och 14.4.2. I första stycket föreskrivs att direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Med direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgivares organisa-
tion. Direktåtkomsten skiljer sig från annat elektroniskt utlämnande genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med avseende på informationen – exempelvis någon sekretessprövning – inför överföringstillfället. Utlämnandet sker alltså helt automatiskt. Det spelar ingen roll om mottagaren har åtkomst till all information i ett register eller en databas eller om den som vill ha informationen skickar en förfrågan av mer specifikt slag som besvaras utan att någon person hos utlämnaren tar emot och effektuerar förfrågan. Även i sistnämnt fall rör det sig alltså om direktåtkomst i patientdatalagens mening. Däremot är det inte fråga om direktåtkomst när personalen har elektronisk tillgång till personuppgifter som finns inom en vårdgivares organisation. Eftersom direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter, klargörs i patientdatalagen att direktåtkomst är tillåten endast i den utsträckning som anges i lag eller förordning.
Enligt andra stycket får myndigheter som bedriver hälso- och sjukvård i ett landsting ha direktåtkomst till varandras personuppgifter. Motsvarande gäller för myndigheter som bedriver hälso- och sjukvård i en kommun. Bestämmelsen i denna del innebär ett klargörande av att hälso- och sjukvårdsmyndigheter inom en vårdgivare kan ha elektronisk tillgång till varandras personuppgifter. Av 4 kap. 2 och 3 §§ följer att vårdgivaren ansvarar för tilldelningen av behörighet för och kontrollen av den elektroniska åtkomsten. Om exempelvis ett landsting väljer att bedriva hälso- och sjukvård i flera nämnder inom landstinget, kan personuppgifter lämnas ut mellan myndigheterna genom direktåtkomst. Av 7 kap. 1 d § sekretesslagen (1980:100) följer att sekretessen inte hindrar att uppgifterna lämnas mellan myndigheterna. Vidare erinras i förevarande stycke om att en enskild kan medges direktåtkomst till uppgifter om sig själv (5 §), att direktåtkomst får förekomma vid sammanhållen journalföring (6 kap.) samt att en vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret (7 kap. 9 §). I framtiden kan det bli aktuellt att tillåta direktåtkomst till personuppgifter i andra situationer. När det gäller annat elektroniskt utlämnande än direktåtkomst, se 6 §.
5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.
Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som skall gälla vid sådan direktåtkomst.
Paragrafen har behandlats i avsnitt 13.3. Av första stycket framgår att en enskild kan medges direktåtkomst till sådana uppgifter om sig själv som behandlas för ändamålet vårddokumentation och som får lämnas ut till honom eller henne. Paragrafen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direktåtkomst utan endast en möjlighet till detta. Paragrafen syftar till att en vårdgivare skall kunna ge en patient direktåtkomst till sin vårddokumentation. När det gäller innebörden av begreppet direktåtkomst hänvisas till 4 § och avsnitt 8.7. Inget hindrar att journaluppgifterna lämnas ut till den enskilde på medium för automatiserad behandling, se 6 §. Det är förutsatt att den som begär och medges åtkomst till sina journaluppgifter också informeras om vart han eller hon kan vända sig för att få hjälp att tyda journaluppgifterna. En direktåtkomst behöver inte innebära en tillgång till samtliga journaluppgifter om den enskilde. Direktåtkomsten kan av vårdgivaren begränsas till vissa uppgifter, t.ex. uppgifter om behandlande läkare, kontaktuppgifter till vårdgivare, diagnoser, överkänslighet och förskrivna läkemedel. Uppgifter som är särskilt känsliga för patienten bör undantas från direktåtkomsten. Den enskildes direktåtkomst till personuppgifter får givetvis inte avse uppgifter för vilka sekretess gäller i förhållande till honom eller henne, se 7 kap. 3 § sekretesslagen (1980:100). Det framgår av att det i paragrafen föreskrivs att endast uppgifter som får lämnas ut kan omfattas av direktåtkomsten. Eftersom direktåtkomst innebär att någon sekretessprövning inte sker varje gång någon tar del av uppgifter om sig själv, måste sekretessfrågan prövas i samband med att vårdgivaren ger patienten direktåtkomst. Sekretessfrågan kan naturligtvis någon gång behöva omprövas efter det att direktåtkomst har medgetts. En sekretessprövning måste vidare göras varje gång som nya uppgifter görs tillgängliga för den enskilde. Den enskilde får under samma förutsättningar som gäller för direktåtkomst till uppgifter om den enskilde själv medges direktåtkomst
till logglistor som avser elektronisk åtkomst till uppgifter om den enskilde.
Av andra stycket framgår att regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om krav på säkerhetsåtgärder som skall gälla vid direktåtkomst. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det måste också finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av att sekretess gäller för dem i förhållande till patienten. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela sådana föreskrifter.
Utlämnande på medium för automatiserad behandling
6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.
Paragrafen, som innebär en avvikelse från 9 § lagen (1998:544) om vårdregister, har behandlats i avsnitt 8.7. Paragrafen tar sikte på utlämnande på medium för automatiserad behandling. Sådant utlämnande kan avse utlämnande genom e-post, diskett och cd-rom för att bara ta några exempel. Utmärkande för sådant utlämnande är att den som gör utlämnandet vid varje överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om överföring och en sekretessprövning avseende den information som mottagaren får del av. Utlämnande av personuppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § personuppgiftslagen (1998:204) som är tillåten förutsatt att utlämnandet sker i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på en god informationssäkerhet upprätthålls. Direktåtkomst har ansetts som en så integritetskänslig form av elektroniskt utlämnande att det anges i lagen när det får förekomma (4 §). När det gäller annat elektroniskt utlämnande på medium för automatiserad behandling finns däremot inga begränsningar i patientdatalagen. Av tydlighetsskäl föreskrivs i förevarande paragraf att en personuppgift kan lämnas ut på medium för automatiserad behandling under förutsättning att personuppgiften får lämnas ut. Det sistnämnda villkoret syftar på att uppgiften inte kan lämnas ut om sekretess gäller för uppgiften. Möjligheten att
lämna ut en personuppgift på medium för automatiserad behandling innebär således inte att sekretessen bryts.
6 kap. Sammanhållen journalföring
Direktåtkomst till uppgifter hos en annan vårdgivare
1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.
I avsnitt 11 har de närmare förutsättningarna för en sammanhållen journalföring och innebörden av denna utvecklats. Reglerna om sammanhållen journalföring har samlats i 6 kap. I 1 § föreskrivs att en vårdgivare – under de villkor som anges i detta kapitel – får ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som rör vårddokumentation. Angående innebörden av direktåtkomst, se avsnitt 8.7. Genom den sammanhållna journalföringen ges en tillgänglighet till uppgifter om patienter som i praktiken låter informationen följa patienterna i olika vårdkedjor och vårdprocesser. Varken denna paragraf eller någon annan paragraf i patientdatalagen styr över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Det är en fråga som vårdgivarna själva får bestämma över. Däremot måste naturligtvis systemen utformas och anpassas efter de särskilda krav som lagen uppställer för sammanhållen journalföring. Grundidén med sammanhållen journalföring är alltså att en vårdgivare under vissa förutsättningar kan få ta del av en annan vårdgivares vårddokumentation.
Tillgången till information sker genom att en vårdgivare gör de uppgifter om en patient som vårdgivaren registrerar om patienten tillgängliga för andra vårdgivare som deltar i det sammanhållna journalföringssystemet. Även om den som har direktåtkomst till uppgifter har möjlighet att kopiera och ”hämta hem” dessa från en annan vårdgivare till ett eget lokalt system, bör sådan kopiering och lagring undvikas. Risken är annars att den ”egna” journalen på sikt kommer att tyngas av svåröverskådlig information. I förlängningen kan då den sammanhållna journalföringen bli oanvändbar för hälso- och sjukvården. Det är också från integritetssynpunkt önskvärt att samma slags uppgifter inte lagras på mer än ett ställe. Ett syfte med
den sammanhållna journalföringen är att onödig dubbeldokumentation skall undvikas. Självfallet kan det någon gång vara motiverat med denna typ av ”hemtankning”, men det bör alltså så långt som möjligt undvikas, jfr 2 kap. 7 §.
Direktåtkomsten behöver inte avse alla patientuppgifter utan kan omfatta endast delar av det som dokumenteras i en patientjournal eller andra patientuppgifter. Paragrafen medger således att vårdgivarna bygger upp system i vilket exempelvis bara vissa medicinska basfakta blir tillgängliga. Det kan röra sig om sammanhållen journalföring avseende läkemedel. Ett annat exempel är det nationella informationssystemet för patientjournalföring m.m. av vaccinationer som för närvarande utvecklas i Smittskyddsinstitutets projekt SVEVAC. Det är alltså möjligt att låta bara vissa vårdenheter delta i ett sammanhållet journalföringssystem. Paragrafen medger också att vårdgivarna skapar patientöversikter av olika slag, som innehåller bara vissa grundfakta om patienter, t.ex. identitetsuppgifter om patienten, patientens primärvårdskontakt på hemorten, provbunden diagnostik, förskrivna läkemedel, diagnoser och remissvar från röntgen.
Inom den allmänna hälso- och sjukvården gäller normalt sekretess enligt 7 kap. 1 c § sekretesslagen (1980:100) för de uppgifter som görs tillgängliga i den sammanhållna journalföringen. I 7 kap. 1 d § första stycket sekretesslagen finns emellertid ett undantag från sekretessen, som innebär att sekretessen inte hindrar att uppgifter lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Någon sekretessprövning behöver alltså inte göras då uppgifter registreras i exempelvis en elektronisk journal och därmed görs tillgängliga för andra vårdgivare i det sammanhållna journalsystemet. För den enskilda hälso- och sjukvården gäller tystnadspliktsbestämmelsen i 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Den bestämmelsen, som innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, bör kunna tolkas på motsvarande sätt som 7 kap.1 c och 1 d §§sekretesslagen när det gäller tillgängliggörande av uppgifter i sammanhållen journalföring. Det innebär att en privat vårdgivare kan göra uppgifter tillgängliga, om de i detta kapitel angivna förutsättningarna är uppfyllda.
I avsnitt 11.4 diskuteras olika aspekter på hur bestämmelserna om allmänna handlingar i 2 kap. tryckfrihetsförordningen förhåller sig till reglerna om sammanhållen journalföring.
Patientens inflytande vid sammanhållen journalföring m.m.
2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Uppgift om att det finns spärrade uppgifter får dock göras tillgänglig.
Innan uppgifter om en patient gör tillgängliga för andra vårdgivare genom sammanhållen journalföring, skall patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig den.
Om en patient motsätter sig sammanhållen journalföring, skall uppgifterna genast spärras. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.
Paragrafen har behandlats i avsnitt 11.3.3. Av första stycket framgår att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem. Bestämmelsen kräver inte att den enskilde skall lämna ett uttryckligt och informerat samtycke till att uppgifter om honom eller henne får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring utan innebär endast att patienten har en möjlighet att motsätta sig detta. Bestämmelsen ger uttryck för vad man kan kalla för en opt out-modell eller, om man så vill, en ordning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga för andra vårdgivare. Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska system som vårdgivaren använder. Det innebär bara att uppgifterna på den enskildes begäran spärras för tillgänglighet hos andra vårdgivare. En spärrning kan på patientens begäran avse samtliga eller bara vissa uppgifter. Inget hindrar att en spärrning kan göras endast i förhållande till någon eller vissa vårdgivare som deltar i det sammanhållna journalsystemet. I och med att de spärrade uppgifterna inte är tekniskt tillgängliga för övriga vårdgivare är de inte att anse som förvarade och inkomna hos de vårdgivare som är allmänna och därmed inte heller allmänna handlingar hos dessa, se vidare i sistnämnda fråga avsnitt 11.4.2.
Att uppgifterna är spärrade innebär alltså att andra vårdgivare inte har någon direktåtkomst till uppgifterna. Den spärrade informationen kan inte läsas av extern personal. Däremot får det i ett system för sammanhållen journalföring ingå uppgift om att det finns spärrade uppgifter. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient
och hälso- och sjukvårdspersonal i en enskild vårdsituation. Av integritetsskäl får däremot inga andra uppgifter vara tillgängliga, exempelvis vilken vårdgivare som har spärrat uppgifterna.
Det finns inget undantag som innebär att en spärr i en akut nödsituation får forceras av en extern vårdgivare. Den enskildes aktiva ställningstagande om att uppgifter inte skall finnas tillgängliga skall alltså respekteras obetingat. Det sagda utesluter emellertid inte att uppgifter som finns om en patient hos en vårdgivare i undantagsfall kan lämnas till en annan vårdgivare. Då är det emellertid inte fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sammanhållet journalföringssystem. Om en patient på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till ett utlämnande, kan nämligen uppgifter om en enskild utan hinder av sekretess under vissa förhållanden lämnas från en vårdgivare till en annan, se 7 kap. 1 d § andra stycket sekretesslagen. Sistnämnda fråga behandlas i avsnitt 14.4.
I andra stycket föreskrivs att patienten innan uppgifterna om patienten görs tillgängliga för andra vårdgivare skall informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig den. Att patienten på detta tidiga stadium skall informeras om den sammanhållna journalföringen bygger på respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt som möjligt skall utformas och genomföras i samråd med patienten. Hur informationen skall lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen skall ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten skall fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. När det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.
Ibland kan naturligtvis inte informationen lämnas på ett så tidigt stadium som föreskrivs i paragrafen. Inom hälso- och sjukvården är det vanligt att patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling innan uppgifter om patienten registreras. Patienten kan vara medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag
som här avses. I ett sådant fall får uppgifterna inte göras tillgängliga för andra vårdgivare. Det får ske först då patienten blivit informerad och tillgodogjort sig informationen samt haft möjlighet att motsätta sig att uppgifterna görs tillgängliga. Det är i och för sig inte nödvändigt att information lämnas vid varje kontakttillfälle med en patient under förutsättning att inget tvivel råder om att patienten är införstådd med vad den sammanhållna journalföringen innebär.
Patientdatalagen innehåller inga särskilda bestämmelser om hur icke beslutskompetenta personer skall informeras om sammanhållen journalföring. Frågan om information till sådana personer får hanteras på samma sätt som i dag. Det innebär att informationen kan behöva lämnas till någon behörig ställföreträdare eller någon nära anhörig. Inte heller finns det i lagen några särskilda regler om hur barn och ungdomar skall informeras. Huruvida informationen skall lämnas till en ställföreträdare, är ytterst en lämplighetsfråga som får lösas med hänsyn till bl.a. till den unges ålder och utveckling.
Av tredje stycket framgår att uppgifterna genast skall spärras, om patienten motsätter sig sammanhållen journalföring, och att en patient när som helst kan begära att den vårdgivare som har spärrat uppgifterna häver spärren. En patient kan alltså begära att uppgifter om honom eller henne spärras även efter det att uppgifterna har gjorts tillgängliga för andra vårdgivare. Det bör normalt sett inte innebära någon olägenhet för patienten att uppgifterna spärras efter det att de har gjorts tillgängliga i det sammanhållna journalföringssystemet. Tanken är nämligen att vårdgivarna normalt inte skall ladda ner andra vårdgivares journalhandlingar för att bifoga dem till den egna journalföringen. Risken är annars att den ”egna” journalen på sikt kommer att tyngas av svåröverskådlig information. Det är inte heller från integritetssynpunkt önskvärt med en sådan kopiering, jfr 2 kap. 7 §. Det är den vårdgivare som lagt in spärren som skall häva den. Det fordras inte att patienten själv har kontakt med just den vårdgivare som lagt in spärren när patienten vill häva spärren. Det kan exempelvis ske i samband med att patienten senare besöker en annan vårdgivare. Om patienten då vill häva spärren, får den senare vårdgivaren meddela den vårdgivare som har spärrat uppgifterna att patienten vill ha spärren hävd. Patientens önskan att häva spärren bör dokumenteras på lämpligt sätt, exempelvis i patientens journal.
3 § För att en vårdgivare skall få bereda sig tillgång till uppgifter som inte är spärrade enligt 2 § tredje stycket krävs att
1. uppgifterna rör en patient som det finns en aktuell patientrelation med,
2. uppgifterna kan antas ha betydelse för vården av patienten, och
3. patienten samtycker till det. Vårdgivaren får även bereda sig tillgång till sådana uppgifter om
1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,
2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 15 §, och
3. patienten samtycker till det.
I denna paragraf regleras när en vårdgivare, som är ansluten till ett sammanhållet journalföringssystem, får bereda sig tillgång till uppgifter som inte är spärrade av annan vårdgivare. Av första stycket, som närmare har behandlats i avsnitt 11.3.4, framgår att tre villkor skall vara uppfyllda för att en vårdgivare skall få bereda sig tillgång till ospärrade uppgifter som annan vårdgivare har registrerat, nämligen att de aktuella uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation till, att uppgifterna kan antas ha betydelse för vården av en patient samt att patienten samtycker till det.
Kravet att det skall finnas en aktuell patientrelation för att vårdgivaren skall få bereda sig tillgång till uppgifterna skall inte uppfattas som någon regel om inre sekretess (jfr avsnitt 12). Kravet anger endast en allmän förutsättning för när en vårdgivare över huvud taget får använda den direktåtkomst till annan vårdgivares information som vårdgivaren medgetts genom den sammanhållna journalföringen. Härigenom begränsas den legala åtkomsten i förhållande till den faktiska tillgången till andra vårdgivares information till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. I avsnitt 11.4 berörs vilken betydelse en rättslig begränsning av här aktuellt slag har när det gäller tolkningen av 2 kap 3 § tredje stycket tryckfrihetsförordningen. Huruvida en patientrelation över huvud taget föreligger med en enskild person är normalt enkelt att konstatera. En patientrelation anses vanligen som avslutad då en intagen sjukhuspatient skrivs ut såsom färdigbehandlad och det inte finns några inplanerade återbesök, efterkontroller eller liknande. Detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos öppen primärvård i annan vårdgivares regi. Mer tveksamt kan det vara huruvida en husläkare, och därmed den vårdgivare
husläkaren hör till, skall anses ha en ständig aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Så bör normalt inte bedömas vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker eller har kontakt med sin husläkare kan en annan bedömning göras. Av kravet på att det skall finnas en aktuell patientrelation följer att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till journaluppgifter avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.
Ytterligare ett krav för att en vårdgivare skall få bereda sig tillgång till uppgifter som inte är spärrade är att uppgifterna kan antas ha betydelse för vården eller behandlingen av patienten. Denna regel innebär att en vårdgivare som deltar i ett sammanhållet journalföringssystem inte – med undantag från vad som anges i andra stycket – får ha direktåtkomst till andra vårdgivares uppgifter för andra syften än vård och behandling. Rekvisitet kan antas ha betydelse förutsätter att den som avser bereda sig tillgång till ospärrade uppgifter gör något aktivt ställningstagande till vilken betydelse uppgifterna kan ha. Det skall på goda grunder kunna antas att uppgifterna har någon betydelse. Samtidigt kan inte alltför stora krav ställas på en vårdgivare. För att ta ett exempel torde det normalt kunna antas sakna betydelse för den somatiska vården av en patient att ta del av vad som antecknats hos en psykiatrisk öppenvårdsmottagning i ett annat landsting för flera år sedan.
För att en vårdgivare skall få bereda sig tillgång till ospärrade uppgifter krävs också att patienten samtycker till det. I detta skede räcker det således inte att patienten inte motsätter sig att vårdgivaren tar del av uppgifterna. Det fordras ett aktivt samtycke från patientens sida. Det skall vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), dvs. det skall vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket skall vara frivilligt ger uttryck för att den enskilde verkligen skall ha ett val. En registrerad kan vidare enligt personuppgiftslagen inte lämna ett giltigt generellt samtycke till personuppgiftsbehandling som inte är preciserad till något eller några ändamål. Det följer av kravet på att samtycket skall vara särskilt. Att samtycket skall vara otvetydigt anses innebära att det inte får råda någon tvekan om att den registrerade godtar personuppgiftsbehandlingen. Det är lämpligt att samtycket dokumenteras även om det inte finns något formellt krav på detta. Samtycket skall givetvis föregås av att patienten får information om vad han eller hon samtyckt
till. Inget hindrar att ett samtycke lämnas i förväg innan den aktuella patientrelationen har uppstått. Många gånger kan det vara en praktisk ordning att patienten redan i samband med att uppgifter om honom eller henne görs tillgängliga i ett sammanhållet journalsystem samtycker till att annan vårdgivare senare får ta del av uppgifterna. Detta är möjligt under förutsättning att samtycket är särskilt och otvetydigt. Ett praktiskt exempel på då samtycke kan lämnas i förväg är då patienten befinner sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett remissförfarande. Patientdatalagen innehåller inga särregler för vuxna patienter som tillfälligt eller varaktigt brister i sin beslutsförmåga eller om i vilken utsträckning ungdomar kan lämna samtycke. Se härom författningskommentaren till 2 §.
Av andra stycket framgår att en vårdgivare under vissa förutsättningar får bereda sig tillgång till ospärrade uppgifter i ett sammanhållet journalföringssystem för att utfärda intyg om en patients vård, se avsnitt 11.3.6.
4 § En vårdgivare får bereda sig tillgång till en annan vårdgivares uppgifter om en patient, om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Detta gäller endast om uppgifterna inte är spärrade enligt 2 § tredje stycket.
Paragrafen har behandlats i avsnitten 11.3.4–11.3.6. Enligt denna paragraf får en vårdgivare bereda sig tillgång till uppgifter som inte är spärrade även om patientens samtycke inte kan inhämtas, om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Självfallet skall i första hand patientens samtycke inhämtas. Det kan emellertid av olika skäl vara omöjligt. Patienten är kanske medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. Det skall alltså vara sådana och liknande skäl som gör att patientens samtycke inte kan inhämtas. Om de aktuella uppgifterna i en sådan situation kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver, får vårdgivaren bereda sig tillgång till de ospärrade uppgifterna. Det skall i princip vara fråga om en allvarlig situation, då uppgifterna bedöms vara viktiga för den vård eller behandling som omgående måste sättas in. Det skall alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten skall kunna lämna sitt samtycke. När det gäller innebörden av uttrycket kan antas ha bety-
delse, se 3 §. Bakgrunden till att denna möjlighet till direktåtkomst utan patientens samtycke finns är att man nog ofta kan anta att en patient som låtit sina uppgifter vara ospärrade skulle gå med på att en vårdgivare tar del av uppgifterna i en situation som den nu beskrivna. Om patienten motsätter sig att vårdgivaren tar del av uppgifterna, får däremot vårdgivaren inte bereda sig tillgång till de ospärrade uppgifterna hur irrationell patientens inställning än bedöms vara. Att så är fallet skall ses som ett utflöde av principen om respekt för patientens självbestämmanderätt, som bl.a. innebär att han eller hon kan vägra att underkasta sig vård eller behandling. Det finns inget undantag motsvarande det som finns i denna paragraf som innebär att en vårdgivare kan få ta del av spärrade uppgifter utan patientens samtycke även om en akut nödsituation skulle föreligga (se avsnitt 11.3.3), jfr dock 7 kap. 1 d § sekretesslagen (1980:100).
5 § En vårdgivare får inte bereda sig tillgång till uppgifter som är tillgängliga genom sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det.
Paragrafen har behandlats i avsnitt 11.3.6. I 2 kap. 3 § finns ett klargörande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt patientdatalagen får utföras, om den enskilde uttryckligen har samtyckt till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller av förordning. I förevarande paragraf föreskrivs ett undantag från denna princip. Enligt undantaget får en vårdgivare inte bereda sig tillgång till uppgifter som är tillgängliga genom sammanhållen journalföring under andra förutsättningar än de som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det. Bland annat därför att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter, har det ansetts viktigt att den inte används för andra ändamål än de angivna, inte ens med patientens samtycke.
Personuppgiftsansvar vid sammanhållen journalföring
6 § Regeringen får meddela föreskrifter om vem som skall ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.
Paragrafen har behandlats i avsnitt 11.6.2. Enligt 2 kap. 6 §, den allmänna bestämmelsen i patientdatalagen om personuppgiftsansvar, är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommuner är enligt den paragrafen en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Bestämmelsen är tillämplig även vid personuppgiftsbehandling vid sammanhållen journalföring. Regeln innebär bl.a. att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår att patienten i skede 1 ges information om den sammanhållna journalföringen. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa personuppgifter är personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär. I denna paragraf ges emellertid regeringen möjlighet att vid behov närmare reglera personuppgiftsansvaret för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder. När det gäller sådana frågor torde – lite beroende på organisation och samarbetsformer i det enskilda fallet – regeln i 2 kap. 6 § innebära att ansvaret delas solidariskt mellan de samarbetande vårdgivarna. En sådan ordning framstår inte alltid som naturlig. Om exempelvis allas vårddokumentation lagras och behandlas i en gemensam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting – som också i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet – kan det tala för att det aktuella landstinget bör anses ha ett personuppgiftsansvar för övergripande frågor. Eftersom det vidare inte alltid är helt klart hur det förhåller sig med personuppgiftsansvaret i övergripande frågor vid gränsöverskridande personuppgiftsbehandling, kan det finnas ett behov av en tydlig reglering av personuppgiftsansvaret i dessa frågor. Därför har regeringen bemyndigats att meddela föreskrifter när det gäller personuppgiftsansvaret för övergripande frågor.
Behörighetstilldelning och åtkomstkontroll
7 § Vad som sägs i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.
I denna paragraf, som har behandlats i avsnitt 12.3, finns en hänvisning till 4 kap. 2 §, som ålägger en vårdgivare att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till uppgifter om patienter och till 4 kap. 3 §, som bl.a. ålägger en vårdgivare att genomföra åtgärder som innebär att den elektroniska åtkomsten till sådana uppgifter dokumenteras och kan kontrolleras. Av förevarande paragraf framgår att en vårdgivare har samma skyldigheter när det gäller direktåtkomst till andra vårdgivares patientuppgifter genom sammanhållen journalföring. Angående begreppen direktåtkomst och elektronisk åtkomst se avsnitt 8.7. Socialstyrelsen förutsätts efter samråd med Datainspektionen meddela närmare föreskrifter om behörighetstilldelning och åtkomstkontroll även vid sammanhållen journalföring.
Bevarande och gallring
8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 16 § att bevara en journalhandling endast den vårdgivare som ansvarar för handlingen.
Om en journalhandling eller annan handling är tillgänglig för en myndighet endast genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra den från sitt arkiv.
Paragrafen har behandlats i avsnitt 11.7.4. Grundregeln om bevarande och gallring av patientjournaler finns i 3 kap. 16 §. Där föreskrivs att en journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får föreskrivas om längre bevarandetid. För journalhandlingar som utgör allmänna handlingar gäller därutöver bl.a. arkivlagen (1990:782). Första stycket innebär att varje vårdgivare som deltar i ett sammanhållet journalföringssystem ansvarar för bevarandet av de ospärrade journaluppgifter som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. Sådant ansvar åvilar alltså inte en vårdgivare som endast har en potentiell tillgång till dessa uppgifter. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren. En tanke med den sammanhållna journalföringen är dock att en vårdgivare inte skall
behöva hämta hem och lagra en annan vårdgivares journalhandlingar. Dubbeldokumentation skall undvikas. Ibland lär det dock för att patientsäkerheten skall tillgodoses vara nödvändigt att göra detta. En sådan åtgärd innebär att vårdgivaren framställer en ny handling. Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.
Enligt andra stycket får en myndighet gallra journalhandlingar och andra handlingar som är tillgängliga för myndigheten endast genom direktåtkomst vid sammanhållen journalföring. Denna gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna skall bli arkivansvarig för privata vårdgivares journalhandlingar eller andra handlingar som myndigheten potentiellt sett har tillgång till (jfr 3 § första stycket arkivlagen [1990:782]).
7 kap. Nationella och regionala kvalitetsregister
Inledande bestämmelse
1 § Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare och vilka möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
I patientdatalagen finns vissa särbestämmelser som bara gäller för nationella och regionala kvalitetsregister. Dessa register och verksamheten knuten till dem har utförligt behandlats i avsnitt 16. I paragrafen definieras kvalitetsregister som en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. I patientdatalagen används alltså registerbegreppet för att beskriva här aktuella uppgiftssamlingar. Inom hälso- och sjukvården förs kvalitetsregister på olika nivåer. De kan föras lokalt av en vårdgivare men också gemensamt av flera vårdgivare. Särbestämmelserna, som finns intagna i detta kapitel, är bara tillämpliga på nationella och regionala kvalitetsregister. Med ett nationellt eller ett regionalt kvalitetsregister avses ett kvalitetsregister som gör det möjligt att jämföra vården på
nationell eller regional nivå. I sådana register samlas personuppgifter och annan information som rapporteras till registret från flera vårdgivare inom ett landsting (exempelvis landstinget och de privata vårdgivarna i landstinget), inom en eller flera av landets sex sjukvårdsregioner eller i hela landet. Utmärkande för dessa register är att de sammanställda uppgifterna kan användas för att på olika nivåer öka vårdens kvalitet genom jämförelser mellan olika vårdgivare. Särbestämmelserna i detta kapitel skall tillämpas på alla nationella och regionala kvalitetsregister. Det saknar således betydelse om statligt bidrag utgår till stöd för driften av registret. När det gäller sekretessfrågor som uppstår i samband med överföring av uppgifter i kvalitetsregisterrapporteringen, se 7 kap. 1 d § första stycket sekretesslagen (1980:100) och avsnitt 16.5.1. De lokala kvalitetsregistren omfattas alltså inte av särbestämmelserna i detta kapitel. De regleras av patientdatalagens allmänna bestämmelser, se bl.a. 2 kap. 4 § 4. I system där den elektroniska journalföringen är integrerad med kvalitetsregisterrapporteringen är patientdatalagens bestämmelser om journalföring och annan vårddokumentation tillämpliga på den personuppgiftsbehandling som sker på den lokala vårdinrättningen för vårddokumentationsändamål medan särbestämmelserna för nationella och regionala kvalitetsregister är tillämpliga i fråga om den del av hanteringen som utgör eller syftar till central hantering, bearbetning, lagring m.m. i kvalitetsregistret. Den närmare innebörden av ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet framgår av författningskommentaren till 4 §.
Den enskildes inställning till behandling i kvalitetsregister
2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.
Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifterna utplånas ur registret så snart det kan ske.
Paragrafen har behandlats i avsnitt 16.4.5. Av första stycket framgår att en enskild har rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. I lagen uppställs inget krav på något samtycke från den enskilde i den mening som avses i personuppgiftslagen (1998:204) som förutsättning för personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister. I stället ges den enskilde en möjlighet att motsätta sig personuppgiftsbehandlingen. Det är
en ordning som i praktiken innebär att tyst samtycke räcker för personuppgiftsbehandling i ett kvalitetsregister. Inget hindrar naturligtvis en vårdgivare från att tillämpa en ordning där samtycke inhämtas. I många fall är det i hög grad lämpligt att det görs. Den enskilde skall som huvudregel före personuppgiftsbehandlingen informeras om rätten att motsätta sig den, se 3 §.
Av andra stycket följer att uppgifterna i registret skall utplånas, om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats. Syftet med att uppgifterna skall utplånas är att den enskildes rätt att motsätta sig personuppgiftsbehandlingen annars riskerar att bli rent illusorisk med hänsyn till att personuppgiftsbehandlingen kan komma att påbörjas redan innan den enskilde informerats om registret (se 3 § andra stycket). Att uppgifterna skall utplånas innebär att de skall förstöras så att de inte kan återskapas (se 28 § personuppgiftslagen). Det räcker således inte med att överföra den elektroniska informationen till pappershandlingar.
Information
3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister skall den som är personuppgiftsansvarig se till att den enskilde, utöver den information som skall lämnas enligt 8 kap. 5 §, får information om
1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,
2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och
3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.
Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, skall den lämnas så snart det kan ske.
Paragrafen har behandlats i avsnitt 16.4.6. Av första stycket framgår att den enskilde skall informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Det är den personuppgiftsansvarige som skall se till att informationen lämnas. Vem som faktiskt skall lämna informationen regleras inte i lagen. Informationsskyldigheten följer av patientdatalagens allmänna bestämmelser i 8 kap. 5 § om information som skall lämnas den enskilde. Informationen skall lämnas innan personuppgiftsbehandlingen påbörjas. Som framgår av andra stycket kan dock informationen lämnas efter
det att personuppgiftsbehandlingen har påbörjats, om det inte är möjligt att lämna den tidigare. I paragrafen föreskrivs att informationen skall ha det innehåll som framgår av 8 kap. 5 §. Därutöver skall den enskilde upplysas om hans eller hennes rätt att när som helst få uppgifter om sig själv utplånade ur registret. Denna rätt innefattar bl.a. en rätt att motsätta sig behandlingen även sedan den har påbörjats (2 §). Vidare skall den enskilde upplysas om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än den enskilde själv eller hans eller hennes patientjournal, t.ex. om uppgifter inhämtas genom samkörning med andra register. Den enskilde skall också upplysas om huruvida och i så fall till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Det finns inga föreskrifter om hur informationen skall lämnas. Det har överlåtits åt varje personuppgiftsansvarig att bestämma. Det är förutsatt att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten skall fullgöras. Det åligger också den personuppgiftsansvarige att tillse att informationen är utformad på ett sätt som kan förstås av den enskilde. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.
Av andra stycket framgår att personuppgiftsbehandlingen kan påbörjas, om det inte är möjligt att lämna informationen dessförinnan. Det kan vara omöjligt att lämna information på grund av patientens hälsotillstånd. I sådana situationer skall informationen lämnas så snart det kan ske.
Kvalitetsregisters ändamål
4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
Av paragrafen, som har behandlats i avsnitt 16.4.2, framgår till en början att ändamålsbestämmelserna 2 kap. 4 och 5 §§ inte är tillämpliga vid personuppgiftsbehandling i nationella och regionala kvalitetsregister. I 31 § hälso- och sjukvårdslagen (1982:763) föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande skall utvecklas och säkras. Motsvarande bestämmelser om kvalitetssäkring
finns även i tandvårdslagen (1985:125). En speciell form av kvalitetssäkringsarbete är den som är knuten till kvalitetsregisterverksamheten. I denna paragraf slås fast att personuppgifter får behandlas i nationella och regionala kvalitetsregister för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det ändamål som anges i paragrafen är det primära ändamålet med de nationella och regionala kvalitetsregistren. Ändamålet anger en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas i nationella och regionala kvalitetsregister. Eftersom det primära ändamålet är tämligen generellt utformat, är det förutsatt att det i sin tur bryts ner i mer preciserade ändamål. Att så sker är nödvändigt för att personuppgiftslagens (1998:204) krav på att ett ändamål skall vara särskilt uppfylls. Det primära ändamålet är bestämmande för vilka personuppgifter som över huvud taget får behandlas i nationella och regionala kvalitetsregister (8 §). Av 5 § framgår att insamlade personuppgifter får behandlas också för vissa andra, efterkommande ändamål.
5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för
1. framställning av statistik,
2. forskning inom hälso- och sjukvårdsområdet,
3. utlämnande till den som skall använda uppgifterna för ändamål som anges i 4 § eller 1 och 2, och
4. fullgörande av annan uppgiftsskyldighet som följer av lag eller förordning än den enligt 15 kap. 5 § sekretesslagen (1980:100).
I paragrafen, som har behandlats i avsnitt 16.4.2, anges att personuppgifter i nationella och regionala kvalitetsregister som har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet också får behandlas för vissa andra, sekundära ändamål. Dessa sekundära ändamål är framställning av sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet, forskning inom hälso- och sjukvårdsområdet, utlämnande till tredje man samt fullgörande av viss uppgiftsskyldighet.
Med statistik avses här sådan statistik som skall användas för andra ändamål än att förbättra vårdens kvalitet. Det kan röra sig om statistik som framställs för att ge särskilt underlag åt politiker och administratörer för planering av verksamheten inom hälso- och sjukvården eller för att informera allmänheten om verksamheten. Om statistiken syftar till kvalitetssäkring, exempelvis återrapporteringar
som framställs i kvalitetssäkringsarbetet, omfattas det av det primära ändamålet kvalitetssäkring. Det sekundära ändamålet forskning medger att personuppgifter, som har samlats in för kvalitetssäkringsarbete, också får användas i forskning inom hälso- och sjukvårdsområdet. Till forskning är också att hänföra epidemiologiska studier. Att det i paragrafen talas om hälso- och sjukvårdsområdet innebär att forskningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor. Ändamålet forskning i paragrafen utgör inget undantag från lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav på etikprövning. Utlämnande till tredje man får förekomma bara om mottagaren av uppgifterna skall använda dem för att själv systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, framställa statistik eller bedriva forskning inom hälso- och sjukvårdsområdet. Fullgörande av uppgiftsskyldighet kan avse uppgiftsskyldighet enligt 14 kap. 1 § sekretesslagen (1980:100) eller 2 kap.8 och 9 §§ lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Däremot utgör utlämnande med stöd av 15 kap. 5 § sekretesslagen inget sekundärt ändamål. Skälet härtill är att det är svårt att överblicka vilket uppgiftsutlämnande som en tillämpning av 15 kap. 5 § sekretesslagen kan leda till. Utlämnande kan alltid ske enligt 2 kap. tryckfrihetsförordningen, se 8 § personuppgiftslagen (1998:204).
6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än dem som anges i 4 och 5 §§.
Paragrafen har behandlats avsnitt 16.4.2. Av paragrafen framgår att de ändamål för vilka personuppgifter i ett nationellt eller regionalt kvalitetsregister får behandlas enligt 4 och 5 §§ är uttömmande. Det är av hänsyn till enskildas personliga integritet som inga andra ändamål är tillåtna. Detta innebär bl.a. att personuppgifter som redan har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet i ett visst avseende inte får behandlas för något annat ändamål, även om det nya ändamålet i och för sig inte kan anses som oförenligt med det ursprungliga, jfr 9 § första stycket d personuppgiftslagen (1998:204). Dock kan med den enskildes uttryckliga samtycke personuppgifter om honom eller henne behandlas för något annat ändamål än för vilka de har samlats in, se 2 kap. 3 §. Paragrafen hindrar inte att personuppgifter i ett nationellt eller regionalt kvalitetsregister behandlas för exempelvis administrativ intern tillsyn,
kontroll och uppföljning av registren (jfr prop. 2004/05:164 om Tullverkets brottsbekämpning Effektivare uppgiftsbehandling, s. 178).
Personuppgiftsansvar
7 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central organisering, lagring, bearbetning eller annan central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
Regeringen, eller den myndighet som regeringen bestämmer, får medge undantag från första stycket.
I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.
Paragrafen har behandlats i avsnitt 16.4.3. Enligt den grundläggande bestämmelsen i 2 kap. 6 § om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen är varje vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommuner är dock en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Den bestämmelsen gäller i och för sig även personuppgiftsbehandling i nationella och regionala kvalitetsregister. I första stycket finns dock en särreglering av personuppgiftsansvaret för nationella och regionala kvalitetsregister. Regleringen innebär att för sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå skall bara myndigheter få vara personuppgiftsansvariga. Den personuppgiftsbehandling som avses enligt paragrafen är central organisering, lagring, bearbetning eller annan central behandling. Personuppgiftsansvaret för administration och hantering av personuppgifter på central registernivå kan således inte ligga på någon enskild, exempelvis en speciallistförening, se dock andra stycket. När det gäller annan personuppgiftsbehandling som vårdgivare utför i nationella och regionala kvalitetsregister – exempelvis insamling och rapportering – skall dock huvudregeln tillämpas, dvs. varje vårdgivare ansvarar för sin personuppgiftsbehandling.
I andra stycket finns ett undantag från huvudregeln i första stycket enligt vilket regeringen får medge undantag från huvudregeln. Huvudregeln och regeringens möjlighet att medge undantag från den har tillkommit av det skälet att det framstår som mindre lämpligt att stora samlingar av typiskt sett integritetskänsliga personuppgifter samlas
i enskild verksamhet utan att förutsättningarna för detta närmare övervägs i varje särskilt fall.
I tredje stycket finns en hänvisning till den grundläggande bestämmelsen om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen.
Personuppgifter som får behandlas
8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.
En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.
Paragrafen har behandlats i avsnitt 16.4.4. I första stycket föreskrivs att det bara är sådana uppgifter som får behandlas som behövs för det primära ändamålet att i nationella och regionala kvalitetsregister systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Någon närmare precisering än så finns alltså inte när det gäller vilka uppgifter som får tas in i ett nationellt eller regionalt kvalitetsregister (se dock andra och tredje styckena). Att endast uppgifter som behövs för det primära ändamålet får behandlas innebär att personuppgifter som inte direkt behövs för detta ändamål utan enbart skulle vara bra att ha i exempelvis framtida forskningsprojekt inte får samlas in och vidare behandlas.
Enligt andra stycket får en enskilds personnummer eller namn behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för ändamålet med behandlingen inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den enskilde. Paragrafen utgår alltså från förutsättningen att kvalitetsregister i första hand skall bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter (t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter) i stället för direkt utpekande personuppgifter. Exempel på då behandling av personnummer kan vara tillåten är att register-
uppgifterna skall samköras med andra register för kvalitetssäkringsändamål. Ett annat skäl kan vara att patienter skall följas upp över lång tid.
I tredje stycket föreskrivs att känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, för särskilt fall har medgett detta. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Enligt den sistnämnda paragrafen är även personuppgifter som rör hälsa eller sexualliv känsliga personuppgifter. Uppgifter som rör hälsa får alltså behandlas i nationella och regionala kvalitetsregister, medan behandling av övriga känsliga personuppgifter måste tillåtas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det blir Datainspektionen som, efter samråd med Socialstyrelsen, kommer att pröva dessa frågor. Av bestämmelserna i 2 kap. 3 §, som reglerar verkan av den enskilde registrerades uttryckliga samtycke, följer emellertid att andra känsliga personuppgifter än sådana som rör hälsa kan behandlas i ett kvalitetsregister utan stöd i förordning, om den enskilde uttryckligen samtycker till detta. Det är viktigt att det av informationen till den enskilde i ett sådant fall klart framgår att ett uttryckligt samtycke omfattar just dessa slags personuppgifter.
Utlämnande genom direktåtkomst
9 § En vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret.
Paragrafen, som har behandlats i avsnitt 16.4.7, ger en vårdgivare rätt att ha direktåtkomst till sådana personuppgifter i ett kvalitetsregister som vårdgivaren tidigare har rapporterat in till registret. Angående innebörden av begreppet direktåtkomst, se avsnitt 8.7. Tanken med direktåtkomsten är att den skall kunna användas av den inrapporterande vårdgivaren för att göra t.ex. lokala uppföljningar av den egna verksamheten. Paragrafen behövs med hänsyn till föreskriften i 5 kap. 4 § att direktåtkomst är tillåten endast i den utsträckning
som anges i lag eller förordning. Här anges således ett fall då direktåtkomst är tillåten.
Bevarande och gallring
10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister skall gallras när de inte längre behövs för det ändamål som anges i 4 §.
En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Om regeringen meddelat föreskrifter enligt 7 § andra stycket, får den också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Paragrafen har behandlats i avsnitt 16.4.8. Enligt första stycket skall personuppgifter i ett nationellt eller regionalt kvalitetsregister gallras när de inte längre behövs för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kravet på gallring är uppfyllt om personuppgifterna avidentifieras så att de inte längre kan knytas till den enskilde. Handlar det om kodade uppgifter, kan det räcka med att kodnyckeln förstörs. Det får dock inte vara möjligt att med s.k. bakvägsidentifikation identifiera individerna. Informationen får inte heller på annat sätt indirekt kunna hänföras till en individ. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, skall gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten.
I andra stycket finns ett undantag från huvudregeln i första stycket om gallring. Enligt undantaget får arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvariga myndigheten hör meddela föreskrifter om att personuppgifterna trots allt får bevaras under längre tid, om det sker för historiska, statistiska eller vetenskapliga syften.
Av tredje stycket framgår att regeringen kan meddela undantag från huvudregeln om gallring samtidigt som regeringen med stöd av 8 § andra stycket föreskriver att en enskild skall få vara personuppgiftsansvarig för den personuppgiftsbehandling som sker på central nivå.
8 kap. Rättigheter för den enskilde
Rätt att ta del av uppgifter
1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och sekretesslagen (1980:100).
Paragrafen innehåller en erinran om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och begränsningarna i denna rätt. En begäran om att få del av en allmän handling kan exempelvis aktualiseras om en patient begär att få en utskrift av en logglista enligt 2 kap. 13 § tryckfrihetsförordningen. Någon motsvarande rätt har inte patienter att få logglistor från den enskilda hälso- och sjukvården. I 4 § finns dock en bestämmelse som är tillämplig på både den allmänna och enskilda hälso- och sjukvården och som ålägger vårdgivare att lämna patienter information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten.
2 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.
I fråga om överklagande av Socialstyrelsens beslut enligt andra stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).
Paragrafen överensstämmer med 16 § första, tredje och fjärde styckena patientjournallagen (1985:562). I 4 kap.4 a och 6 a §§ lagen (2002:297) om biobanker i hälso- och sjukvården m.m. finns bestämmelser om utlämnande av en journalhandling på begäran av den som fått tillgång till kodat humanbiologiskt material.
Förstörande av patientjournal
3 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Socialstyrelsen förordna att journalen helt eller delvis skall förstöras. Förutsättningarna för detta är att
– godtagbara skäl anförs för ansökan, – patientjournalen eller den del därav som ansökan avser uppenbarligen inte behövs för patientens vård, och
– det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.
Innan ansökan slutligt prövas, skall den som ansvarar för en journalhandling som omfattas av ansökan beredas tillfälle att yttra sig.
Om Socialstyrelsen har avslagit en ansökan om förstöring av en patientjournal, får beslutet överklagas hos allmän förvaltningsdomstol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Paragrafen har behandlats i avsnitt 10.4.8. Den överensstämmer med 17 § patientjournallagen (1985:562). Att den som ansvarar för journalhandlingen skall beredas tillfälle att yttra sig innan ansökan slutligt prövas innebär inget krav på att andra vårdgivare som är anslutna till ett system för sammanhållen journalföring skall få tillfälle att yttra sig.
Information
4 § En vårdgivare skall på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om den information som skall ges till patienten.
Paragrafen, som har behandlats i avsnitt 12.4, föreskriver i första stycket att en patient har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till patientens uppgifter. Med begreppet direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens organisation. Begreppet elektronisk åtkomst syftar på personalens möjligheter att elektroniskt bereda sig tillgång till personuppgifter som
finns tillgängliga inom en vårdgivares organisation, se avsnitt 8.7.3. Paragrafen är tillämplig på både den allmänna och enskilda hälso- och sjukvården. Skyldigheten att lämna information är mer långtgående än den skyldighet som den allmänna hälso- och sjukvården har enligt tryckfrihetsförordningen att lämna ut allmänna handlingar och 15 kap. 4 § sekretesslagen (1980:100) att lämna uppgifter ur allmänna handlingar. Avsikten är att informationen skall vara tillrättalagd och klargörande för den enskilde i syfte att han eller hon enkelt skall kunna tillgodogöra sig den. Den information som lämnas måste alltså vara begriplig och vägledande för patienten när han eller hon själv skall bilda sig en uppfattning om huruvida åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet inom hälso- och sjukvården en slagning har skett. Vid sammanhållen journalföring bör vidare varje vårdgivare kunna redovisa vilken åtkomst till den egna verksamhetens journaluppgifter som har förekommit från andra vårdgivare. Även dessa andra mottagande vårdgivare bör kunna redovisa när direktåtkomsten har använts. Hur informationen närmare skall utformas framgår dock inte av lagen. Den frågan har överlämnats till regeringen, eller den myndighet som regeringen bestämmer, se andra stycket. Någon rätt för patienten att överklaga ett beslut med anledning av patientens begäran om information finns inte.
Enligt andra stycket får regeringen, eller den myndighet som regeringen bestämmer, meddela närmare föreskrifter om den information som skall ges till patienten. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela dessa föreskrifter.
5 § Den som är personuppgiftsansvarig enligt denna lag skall se till att den registrerade får information om personuppgiftsbehandlingen.
Informationen skall innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som kan följa av lag eller förordning,
5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
7. rätten enligt 4 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,
8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),
9. rätten enligt 28 § personuppgiftslagen till rättelse av oriktiga eller missvisande uppgifter,
10. rätten enligt 48 § personuppgiftslagen till skadestånd vid behandling av personuppgifter i strid mot denna lag,
11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
12. vad som gäller i fråga om bevarande och gallring, samt 13. huruvida personuppgiftsbehandlingen är frivillig eller inte. I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som skall lämnas i vissa fall.
Paragrafen har behandlats i avsnitt 18.1. Första och andra styckena överensstämmer till stora delar med 11 § lagen (1998:544) om vårdregister. Vissa tillägg har dock gjorts. I punkten 4 nämns den uppgiftsskyldighet som kan följa av lag eller förordning, inte bara uppgiftsskyldighet som följer av lagen (1998:543) om hälsodataregister. Skälet härtill är att det finns en mängd andra föreskrifter som föreskriver uppgiftsskyldighet, se exempel härpå i författningskommentaren till 2 kap. 4 och 5 §§. Av informationen skall framgå vilka föreskrifter om uppgiftsskyldighet som kan bli aktuella. Det räcker således inte att allmänt informera om att uppgiftsskyldighet förekommer. Punkten 6, rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras och punkten 7 rätten enligt 4 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit, är nya.
I tredje stycket hänvisas till andra bestämmelser i patientdatalagen som föreskriver att information skall lämnas. Enligt 6 kap. 2 § skall en patient informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig den. I 7 kap. 3 § föreskrivs att den enskilde skall, utöver vad som sägs i första stycket, få viss information innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister.
Rättelse
6 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i 3 kap. 13 §.
Paragrafen har behandlats i avsnitt 18.2.1. Den överensstämmer i sak med 13 § lagen (1998:544) om vårdregister. Den är tillämplig vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens (1998:204) bestämmelser om rättelse gäller enbart vid rättelse av personuppgifter som inte har behandlats i enlighet med personuppgiftslagen. Genom denna paragraf görs bestämmelserna i personuppgiftslagen tillämpliga även då uppgifter behandlats i strid mot patientdatalagen. En rättelse får dock inte strida mot 3 kap. 13 §. Där föreskrivs bl.a. att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än då Socialstyrelsen beslutar att en patientjournal helt eller delvis skall förstöras. I 9 § första stycket h personuppgiftslagen finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ skall vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Inte heller en sådan rättelse får strida mot bestämmelserna i 3
kap.
13 §.
Skadestånd
7 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).
Paragrafen har behandlats i avsnitt 18.2.2. Den överensstämmer i sak med 14 § lagen (1998:544) om vårdregister. Den är tillämplig vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens (1998:204) bestämmelser om skadestånd gäller enbart vid överträdelser av den lagen. Genom denna paragraf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid mot patientdatalagen. Som framgår av 2 kap. 6 § är det i landsting och kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd skall dock väckas mot den juridiska personen, dvs. landstinget eller kommunen. Om bestämmelser som avser
verksamhetsregleringen i patientdatalagen inte följs, kan skadeståndsskyldighet uppstå till följd av reglerna i skadeståndslagen (1972:207). Ett exempel härpå kan vara att någon anteckning inte görs om att en patient anser att en uppgift rörande honom eller henne i en journal är oriktig eller missvisande, se 3 kap. 7 §.
Andra rättigheter enligt denna lag
8 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 7 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.
I 8 kap. finns bestämmelser som erinrar och föreskriver om rättigheter av olika slag för den enskilde. I denna paragraf erinras om andra föreskrifter i patientdatalagen som innebär rättigheter för den enskilde. Enligt 3 kap. 7 § skall anteckning göras i en patientjournal, om patienten anser att en uppgift i journalen är oriktig. Av 4 kap. 4 § framgår att en patient har rätt att begära att vårddokumentation spärras från elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. I 6 kap. 2 § föreskrivs att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem och att patienten innan uppgifterna om honom eller henne görs tillgängliga för andra vårdgivare skall informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig den. Bestämmelserna i 7 kap. 2 och 3 §§ innebär att en enskild har rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister och att den enskilde skall informeras innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister.
9 kap. Omhändertagande och återlämnande av patientjournal
Förutsättningar för omhändertagande
1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt föreskrifterna i denna lag eller enligt föreskrifter som meddelats med stöd av lagen, får Socialstyrelsen besluta att de skall tas om hand.
Socialstyrelsen får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om
– den som ansvarar för hanteringen av journalerna ansöker om det, och – det finns ett påtagligt behov av att journalerna tas om hand.
Förutsättningar för återlämnande
2 § En omhändertagen patientjournal skall återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.
Ansvaret för omhändertagna journaler
3 § Patientjournaler som omhändertagits enligt 1 § skall förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.
Bevarande av omhändertagna journaler
4 § Omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.
Verkställighet av beslut om omhändertagande
5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.
Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.
Överklagande
6 § Socialstyrelsens beslut i fråga om omhändertagande eller återlämnande av patientjournaler får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Detta kapitel motsvarar 11–14 §§patientjournallagen (1985:562). Bestämmelserna är tillämpliga på både manuella och elektroniska journalhandlingar. Ord som omhändertagande, handha och förvaras har behållits i lagtexten, även om de kanske närmast leder tanken till manuella handlingar, jfr betänkandet Ordning och reda bland allmänna handlingar, SOU 2002:97, som dock ännu inte lett till någon lagstiftning.
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister upphör att gälla.
Patientdatalagen ersätter den reglering som nu finns i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister. De båda sistnämnda lagarna skall därför upphöra att gälla samtidigt som patientdatalagen träder i kraft.
2. Bestämmelserna i 7 kap. skall inte börja tillämpas förrän den 1 januari 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.
I dag regleras personuppgiftsbehandlingen i nationella och regionala kvalitetsregister av personuppgiftslagen (1998:204). Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister innebär en skärpning av lagstiftningen jämfört med vad som gäller i dag genom att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det. Genom denna övergångsbestämmelse ges verksamheten en möjlighet att under en övergångsperiod anpassa sig till den nya lagstiftningen.
3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 januari 2009.
Genom denna övergångsbestämmelse kommer bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i nationella och regionala kvalitetsregister och om information om sådan personuppgiftsbehandling inte att gälla beträffande sådana personuppgifter som har behandlats före ikraftträdandet. Det innebär att
redan insamlade personuppgifter får finnas kvar i kvalitetsregistren och att nämnda information endast behöver lämnas beträffande framtida personuppgiftsbehandling i registren.
21.2. Förslaget till lag om ändring i sekretesslagen (1980:100)
7 kap. 1 c § Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.
Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år. En myndighet inom en kommun eller ett landsting som bedriver verksamhet som avses i första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.
Ändringarna innebär främst att bestämmelserna om sekretess i verksamhet som avser omhändertagande av patientjournaler och undantaget från denna sekretess har flyttats från 1 c § tredje stycket till en ny paragraf, 1 e §, och att bestämmelserna om undantag från sekretessen om att uppgifter i vissa fall kan lämnas till enskilda har flyttats från 1 c § femte stycket till 1 d §, som också är en ny paragraf. I övrigt har endast en språklig justering gjorts i sista stycket.
7 kap. 1 d § Sekretess enligt 1 c § första stycket hindrar inte att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Sådan sekretess hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (0000:00). Sek-
retessen hindrar inte heller att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.
Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt 1 c § första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.
Sekretess enligt 1 c § första stycket hindrar inte heller att en uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.
I paragrafen, som är ny, har samlats olika sekretessbrytande bestämmelser. I första stycket finns tre undantag från den sekretess inom hälso- och sjukvården som föreskrivs i 1 § c. Det första undantaget – att sekretessen inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet i samma kommun eller landsting – har behandlats i avsnitt 14.4. Det andra undantaget – att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen – har behandlats i avsnitt 11.5.3. Det tredje undantaget – att sekretessen inte hindrar att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen – har behandlats i avsnitt 16.5.1.
Att sekretessen enligt 7 kap. 1 c § inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting innebär att uppgifter för vilka det gäller sekretess fritt kan lämnas mellan hälso- och sjukvårdsmyndigheter i en kommun eller ett landsting. Kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är i detta sammanhang att jämställa med myndigheter. Det framgår av den sistnämnda paragrafen i sekretesslagen. Enligt förevarande paragraf är det således möjligt att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag i vilket ett landsting äger mer än 50 procent av aktierna och den nämnd eller de nämnder i landstinget som
fullgör landstingets uppgifter när det gäller hälso- och sjukvård. Undantaget från sekretessen gör det möjligt för ett landsting att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter. Regeln ger ökade möjligheter för ett landsting till verksamhetsuppföljning avseende offentliga vårdgivares hälso- och sjukvårdsproduktion. Undantaget från sekretess gäller däremot inte i förhållande till gemensamma nämnder inom vård- och omsorgsområdet, jfr lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i förhållande till kommunalförbund, som är en särskild, offentligrättslig juridisk person för samarbete mellan kommuner. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma kommun eller landsting måste naturligtvis normalt en patients uttryckliga önskemål om att hans eller hennes journal inte skall lämnas till en annan hälso- och sjukvårdsmyndighet i kommunen eller landstinget respekteras. Det får anses följa av föreskriften i 2 a § hälso- och sjukvårdslagen 1982:763) om att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten, jfr författningskommentaren till 4 kap. 4 § patientdatalagen. Något motsvarande undantag från sekretessen som det här beskrivna finns inte på socialtjänstens område.
Sekretessen enligt 7 kap. 1 c § hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Sammanhållen journalföring enligt den lagen innebär att myndigheter inom hälso- och sjukvården och privata vårdgivare kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. I lagen uppställs olika villkor för att sådan direktåtkomst skall få förekomma. Om villkoren är uppfyllda, får journalhandlingarna och andra personuppgifter hos en vårdgivare göras tillgängliga för andra vårdgivare som deltar i systemet med sammanhållen journalföring. För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte skall behöva göra någon sekretessprövning i varje enskilt fall, föreskrivs i paragrafen ett undantag från sekretessen. Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett genom patientdatalagens regler om bl.a. patientens inflytande vid sådan journalföring.
Vidare utgör sekretessen enligt 7 kap. 1 c § inget hinder mot att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister
enligt patientdatalagen. I patientdatalagen finns särskilda föreskrifter om nationella och regionala kvalitetsregister. Sådana register syftar till att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet. Kvalitetsarbetet bedrivs normalt på det sättet att någon – oftast en hälso- och sjukvårdsmyndighet inom ett landsting eller en kommun, se 7 kap. 7 § patientdatalagen – samlar in och analyserar patientbundna data om diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister. Inrapporteringen från de medverkande till den som ansvarar för registret innebär oftast att personuppgifter korsar sekretessgränser. För att sekretessen inte skall förhindra inrapporteringen föreskrivs i paragrafen ett undantag från sekretessen.
I andra stycket finns ett undantag från sekretessen som har behandlats i avsnitt 14.4. Undantaget innebär att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd får lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- eller sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. En förutsättning för detta är att den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgiften lämnas ut. Av paragrafen framgår att den enskildes samtycke i första hand skall utverkas. Bestämmelsen kan bli tillämplig först om den enskilde på grund av demens eller hälsorelaterat skäl inte kan samtycka. Viljan hos den patient som klart och utan inflytande av allvarlig psykisk störning eller liknande motsätter sig ett uppgiftslämnande skall alltid respekteras. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, skall det ske med urskillning och varsamhet.
Tredje stycket motsvarar undantag från sekretessen i förhållande till enskilda som tidigare fanns i 7 kap. 1 c § femte stycket.
7 kap. 1 e § Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.
Denna paragraf motsvarar helt den reglering som tidigare fanns i 7 kap. 1 c § tredje stycket. Den nya paragrafen föranleder följdändringar i sekretesslagen (1980:100) och några andra författningar.
7 kap. 2 § Sekretessen enligt 1 c eller 1 e § gäller inte
1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet angår frihetsberövande åtgärd,
2. beslut enligt smittskyddslagen (2004:168), om beslutet angår frihetsberövande åtgärd,
3. beslut i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården,
4. beslut i fråga om omhändertagande eller återlämnande av patientjournal.
Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c eller 1 e §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.
Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.
7 kap. 3 § Sekretessen enligt 1 c eller 1 e § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.
7 kap. 6 § Sekretess gäller inom hälso- och sjukvården och annan verksamhet som avses i 1 c eller 1 e § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.
I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.
Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.
9 kap. 4 § Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen
eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (0000:00).
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.
I paragrafen, som har behandlats i avsnitt 16.5.2, har – förutom en språklig justering – gjorts ett ytterligare undantag från den absoluta statistiksekretessen. Undantaget omfattar uppgifter om avlidna och som rör dödsorsak eller dödsdatum. De aktuella uppgifterna finns i Socialstyrelsens dödsorsaksregister. Till Socialstyrelsen skall anmälan enligt 4 kap.2 och 5 §§begravningslagen (1990:1144) göras om bl.a. dödsorsak vid alla konstaterade dödsfall avseende personer som är folkbokförda i Sverige. Sekretess gäller hos Socialstyrelsen enligt förevarande paragraf för uppgifter i dödsorsaksregistret. Uppgifter om dödsorsak och dödsdatum får enligt det nya undantaget lämnas ut om de behövs i ett nationellt eller regionalt kvalitetsregister och om det står klart att ett utlämnande kan ske utan att den som uppgiften rör eller någon honom eller henne närstående lider skada eller men. Med tanke på att uppgifterna hos mottagarna kommer att omfattas av hälso- och sjukvårdsekretessen i 7 kap. 1 c § sekretesslagen (1980:100) torde Socialstyrelsens sekretessprövning många gånger utmynna i bedömningen att de aktuella uppgifterna kan lämnas ut.
14 kap. 2 § Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för
1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,
2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller
3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.
Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.
Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.
Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.
För uppgift som omfattas av sekretess enligt 7 kap. 1 c–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om
1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller
3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),
om inte annat följer av sjätte – åttonde styckena. Sekretess enligt 7 kap. 1 c §, 1 e §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott
1. enligt 3, 4 eller 6 kap. brottsbalken eller
2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,
mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.
Sekretess enligt 7 kap. 4 § första stycket eller andra stycket första meningen hindrar vidare inte att uppgift, som angår misstanke om
1. överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),
2. överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller
3. icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),
till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.
Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.
Sekretess enligt 7 kap. 1 c §, 1 e § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.
Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.
16 kap. 1 § Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
3. denna lag enligt – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
7 kap. 1 c eller 1 e § såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke
Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.
21.3. Förslaget till lag om ändring i lagen (2001:499) om omskärelse av pojkar
2 § När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientdatalagen (0000:00).
I paragrafen har endast den ändringen gjorts att ordet patientdatalagen har ersatt patientjournallagen.
21.4. Förslaget till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
3 kap. 7 § Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt i anslutning till biobanken samt i provgivarens patientjournal.
Föreskriften om vad patientjournalen skall innehålla har flyttats från 3 § tredje stycket 6 patientjournallagen (1985:562) till förevarande bestämmelse.
4 kap. 4 a § En journalhandling inom enskild hälso- och sjukvård som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till utlämnandet av journalhandlingen. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204).
Paragrafen motsvarar 16 § andra stycket patientjournallagen (1985:562).
4 kap 6 a § Frågor om utlämnande av en journalhandling enligt 4 a § prövas av den som är ansvarig för patientjournalen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.
Ifråga om överklagande av Socialstyrelsens beslut enligt första stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).
Paragrafen motsvarar 16 § tredje och fjärde styckena patientjournallagen (1985:562).
21.5. Förslaget till lag om ändring i lagen (2005:225) om rättsintyg i anledning av brott
5 § Ett rättsintyg får inte utfärdas utan den enskildes samtycke, om inte annat följer av andra eller tredje stycket.
Ett rättsintyg som avser en målsägande får utfärdas utan samtycke
1. vid misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år eller försök till brott för vilket inte är stadgat lindrigare straff än fängelse i två år,
2. vid misstanke om försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),
3. vid misstanke om brott enligt 3, 4 eller 6 kap. brottsbalken eller brott som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor, mot någon som inte har fyllt arton år, eller
4. om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.
Ett rättsintyg som avser den som är misstänkt för brott får utfärdas utan samtycke
1. i samband med kroppsbesiktning enligt 28 kap. rättegångsbalken, eller
2. om annan undersökning än kroppsbesiktning har ägt rum och det föreligger misstanke om sådant brott som avses i andra stycket 1–3.
Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.
7 § Från en verksamhet där sekretess gäller enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att utfärda ett rättsintyg om
1. det begärs av Rättsmedicinalverket, och
2. uppgifterna angår misstanke om sådant brott som avses i 5 § andra stycket 1–3.
Bestämmelser om utlämnande av uppgifter till polismyndighet och åklagarmyndighet i vissa fall finns i 14 kap. 2 § sekretesslagen.
Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.
Särskilda yttranden
Särskilt yttrande
av Anders Ekbom, Gösta Jedberger, Gabriella Kollander Fållby, Ulla Lönnqvist Endre och Göran Stiernstedt
Det är tre områden där vi inte delar utredarens uppfattning i sak såsom den redovisas i detta betänkande.
1. Det faktum att vårdnadshavare t.ex. kan begära att uppgifter i barns journaler om skador ska spärras i en sammanhållen journal kan medföra att information som skulle givit upphov till att sådan misstanke uppstår att anmälningsskyldighet enligt 14 kap 1 § socialtjänstlagen föreligger för hälso- och sjukvårdspersonal inte blir tillgänglig kan vi inte acceptera. Vi anser att journaluppgifter om skador inte bör kunna spärras om de behövs för att bedöma om anmälningsskyldighet föreligger för hälso- och sjukvårdspersonal till sociala myndigheter så att de kan få information som kan leda till att myndigheten kan ingripa till barnets skydd.
2. I förslaget återfinns dagens regel om att journaler inte behöver sparas längre tid än tre år efter sista anteckningen. Denna frist ter sig i dag alltför kort t.ex. för behandling av miljörelaterade sjukdomar, uppföljning av cancer, implantat m.m. Samma skäl gör sig gällande när det gäller skadestånd där preskriptionstiden är tio år, vissa brott där upplysningsskyldighet enligt 14 kap 2 § jfr med 15 kap 5 § sekretesslagen föreligger för vårdpersonal, ur forskningssynpunkt m.m. Genom att förslaget tar sikte på att journaler förs med stöd av IT finns inte längre de tidigare begränsande utrymmesskälen kvar. Idag kan stora mängder information sparas på föga utrymmeskrävande sätt varför huvudregeln borde vara att journaler ska sparas i minst 10 år och kunna sparas därutöver om regeringen så bestämmer. För visst journalmaterial t.ex. vid läkemedelsskador som visar sig efter lång tid är det enda möjligheten för patienten att kunna få veta vilka preparat som vederbörande haft.
3. Den sammanhållna journalen kommer att kunna öka patientsäkerheten avsevärt. Det är därför inte till gagn för patienterna att en spärrad uppgift i en sammanhållen journal inte skall kunna öppnas om patientens liv är i fara/risk för allvarlig invaliditet föreligger och alla fakta behövs för att personalen inom akutverksamheten skall kunna utföra en räddande insats. Det kan ge till resultat dels att patientinsatserna inte kan ges optimalt trots att vårdpersonalen vet att det finns ytterligare information som kan ha relevans, dels att patienterna inte vågar spärra viss information för att inte hamna i en sådan situation som just beskrivits. Information som finns i en sammanhållen journal bör kunna forceras i situationer där akuta insatser är nödvändiga för patientens behandling.
Särskilt yttrande
av Elisabeth Rynning
Patientdatautredningens uppdrag är omfattande och berör ett antal komplexa frågor, vilka var för sig aktualiserar svåra intresseavvägningar. Uppgiften blir inte lättare av att de förslag som läggs fram samtidigt måste bilda en logisk helhet, som dels är förenlig med rättssystemet i övrigt och dels kan förväntas vara praktiskt genomförbar. Mot denna bakgrund är det förståeligt att utredningen har valt att göra vissa avgränsningar av uppdraget. Utredarens och sekretariatets arbete har också präglats av mycket hög kompetens, förenad med engagemang och lyhördhet för olika intressen och aspekter. Trots att jag således i huvudsak ställer mig bakom de förslag som presenteras i delbetänkandet, vill jag framhålla att de gjorda avgränsningarna medför att vissa frågor av stor betydelse för integritetsskyddet och informationshanteringen i hälso- och sjukvården fortfarande återstår att behandla. Det rör sig bland annat om forskningssekretessen och användningen av vårddokumentation i utbildningen av blivande hälso- och sjukvårdspersonal (se avgränsningar avsnitt 6.4). Det är angeläget att dessa områden, som berör så viktiga allmänna och enskilda intressen, inte förblir outredda.
Härutöver finns det ett par punkter där min uppfattning delvis avviker från utredningens.
1. Av regeringens direktiv framgår att utgångspunkten för utredarens arbete skall vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till utbyte av information om honom eller henne, samt till alla konkreta åtgärder som vidtas för hans eller hennes vård och behandling. Om undantag från denna huvudregel föreslås skall enligt direktiven fördelar och nackdelar med ett sådant förslag noggrant belysas. Höga krav måste således ställas på tydligheten i de förutsättningar som ska gälla för inskränkningar i patientens självbestämmande. Bland annat skulle förutsättningarna för utbyte av information mellan vårdenheter eller vårdgivare, i situationer där den enskilde pga sitt tillstånd saknar förmåga att bryta en spärr eller i övrigt ge sitt samtycke till informationsutbytet, behöva utvecklas ytterligare. Även när det gäller innebörden av den kodifierade inre sekretessen kvarstår vissa oklarheter rörande omfattningen av den enskildes möjligheter att i olika vårdsituationer motsätta sig utbyte av information mellan vårdenheter respektive medlemmar av personalen. Det föreligger också
sedan tidigare osäkerhet avseende förhållandet mellan sekretesskyddet och hälso- och sjukvårdspersonalens skyldighet att i vissa fall informera patientens närstående, enligt exempelvis 2 kap. 2 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Sammantaget återstår alltså vissa frågetecken rörande den enskilda patientens möjligheter att bestämma över användningen av uppgifter som registreras om henne i hälso- och sjukvården.
2. I likhet med experten Ulla Lönnqvist-Endre anser jag att vårdnadshavares möjligheter att låta spärra journaluppgifter rörande sina barn i vissa fall kan komma att strida mot barnets bästa. Sådan spärrning kan försvåra bedömningen av en eventuell anmälningsskyldighet till socialnämnden enligt 14 kap. 1 § socialtjänstlagen (2001:453), men kan härutöver också medföra risk för att barnet går miste om de fördelar som en sammanhållen journalföring antas komma att innebära ur patientsäkerhetssynpunkt. Samtidigt kan det finnas fall där även barn har ett uppenbart intresse av ett förstärkt integritetsskydd, så att tillgängligheten till uppgifter om vissa hälsotillstånd eller behandlingsåtgärder begränsas. Underårigas eget inflytande över journalhanteringen i takt med tilltagande mognad kan också ge upphov till olika konfliktsituationer. Vissa närliggande frågor har blivit föremål för behandling i annat sammanhang, exempelvis svårigheterna att kunna tillgodose barns rätt till erforderlig hälso- och sjukvård när den ena av två vårdnadshavare motsätter sig de aktuella åtgärderna, se betänkandet Vårdnad – Boende – Umgänge, Barnets bästa, föräldrars ansvar (SOU 2005:43). Ambitionen att så småningom åstadkomma ett tydligare barnperspektiv i hälso- och sjukvårdslagstiftningen har uttalats även dessförinnan, se t.ex. prop. 2002/03:53 Stärkt skydd för barn i utsatta situationer m.m. s. 52. Någon samlad översyn över barns och ungdomars ställning i hälso- och sjukvården har emellertid inte kommit till stånd. Jag anser att de olika frågor som rör underårigas ställning i hälso- och sjukvården lämpligen bör övervägas i ett sammanhang, för att underlätta avvägningen mellan barnets intressen av god hälso- och sjukvård, självbestämmande och integritetsskydd. Det gäller alltså även de frågor som i princip skulle kunna hänföras till Patientdatautredningens uppdrag. En sådan samlad översyn måste anses både angelägen och brådskande. Delvis likartade frågor uppkommer vid avvägningen mellan integritetsskydd och patientsäkerhet i vården av vuxna patienter med nedsatt beslutsförmåga. I detta avseende har emellertid vissa överväganden redan gjorts i betänkandet Förmyndare och ställföreträdare
för vuxna (SOU 2004:112). Jag delar således Patientdatautredningens uppfattning att frågan om ställföreträdares behörighet av besluta avseende uppgifter om patienten lämpligen bör regleras i samband med ett ställningstagande till övriga förslag i nämnda betänkande.
Kommittédirektiv
Författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården, m.m.
Dir. 2003:42
Beslut vid regeringssammanträde den 3 april 2003.
Sammanfattning av uppdraget
En särskild utredare tillkallas för att utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården. Författningen skall bl.a. innehålla bestämmelser om vilka uppgifter som skall få tas in i registret och vad som skall krävas för detta. Sådana krav kan gälla t.ex. om samtycke från den uppgifterna avser är nödvändigt, vad uppgifterna skall få användas till, vem som skall få tillgång till dem samt vad som skall gälla för register av olika livslängd och för bevarande av uppgifterna. Vid utarbetandet av en sådan reglering skall utredaren beakta bestämmelserna om skydd för den personliga integriteten vid behandling av personuppgifter i personuppgiftslagen (1998:204) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet om personuppgifter).
Utredaren skall även överväga om särskild författningsreglering behövs för de regionala cancerregistren och för donations- och metadonregistren, samt för blodgivarregistret och vaccinationsregistret, som båda är under uppbyggnad. Om utredaren anser att en särskild författningsreglering är nödvändig, skall han utarbeta ett förslag till en sådan.
Bakgrund
Integritetsfrågor
Frågan om registrering av känsliga personuppgifter inom vården innefattar svåra avvägningar mellan skyddet för den personliga integriteten å ena sidan och viktiga samhällsintressen å den andra. Hur starkt
skyddet för den personliga integriteten skall vara är en omdiskuterad fråga – uppfattningen om vad som upplevs som intrång i den personliga integriteten varierar mellan olika individer och tillfällen. Begreppet kan sägas bestå av flera delar, varav bland andra följande två är aktuella i detta sammanhang. Den första är att den enskilde bör tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter. Den andra är att den enskilde bör ha rätt och möjlighet att själv bestämma i vilka sammanhang uppgifter om honom eller henne får utnyttjas och i så fall hur.
I svensk lagstiftning är skyddet för den enskildes integritet inte absolut, utan den enskilde måste acceptera ett visst mått av intrång till förmån för viktiga allmänna intressen. Det tyngsta skälet till att man tillåter registrering av känsliga personuppgifter i olika typer av myndighetsregister är att det finns stora samhälleliga vinster att göra med hjälp av dessa register.
Hälso- och sjukvården är ett område där en god hantering av personuppgifter kan ge stora förbättringar såväl i den dagliga verksamheten som för forskning och utveckling. Det finns ett flertal register inom hälso- och sjukvården i dag, vilka omfattas av författningsreglering. Ett av syftena med att författningsreglera ett registerområde är att stärka skyddet för den enskildes integritet och att anpassa det i förhållande till personuppgiftslagen.
Nuvarande bestämmelser på området
I svensk rätt finns inte någon legaldefinition av begreppen personlig integritet och otillbörligt intrång i denna. Däremot finns bestämmelser till skydd för den personliga integriteten i lagar och förordningar på olika rättsområden.
I 1 kap. 2 § fjärde stycket regeringsformen (RF) föreskrivs bland annat att det allmänna skall värna om den enskildes privatliv och familjeliv. I 2 kap. 3 § andra stycket RF anges att varje medborgare i den utsträckning som närmare anges i lag skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.
Sedan år 1998 reglerar personuppgiftslagen (1998:204), PUL, närmare skyddet för den enskildes personliga integritet vid behandling av personuppgifter. PUL utgör ett genomförande i svensk lagstiftning av EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för
enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter). PUL är subsidiär i förhållande till avvikande bestämmelser i lag eller förordning. Sådana bestämmelser får dock inte strida mot det underliggande EGdirektivet. Lagen är nu föremål för en översyn. Syftet med denna är att inom ramen för direktivets bestämmelser åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten än vad den nuvarande lagen gör (dir. 2002:31).
Den närmare regleringen av automatiserad behandling av personuppgifter inom hälso- och sjukvården står lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) och lagen (1998:544) om vårdregister (vårdregisterlagen) för. De infördes som en följd av att man ansåg det nödvändigt att författningsreglera personregister inom hälso- och sjukvården för att skydda den enskildes integritet. Då hälsodataregisterlagen och vårdregisterlagen utarbetades ansåg hälsodatakommittén (SOU 1995:95) att det inte var nödvändigt att författningsreglera även de nationella kvalitetsregistren, främst på grund av att de ofta är tidsbegränsade.
Andra viktiga författningar på området är sekretesslagen (1980:100), hälso- och sjukvårdslagen (1982:763), lag (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område samt patientjournallagen (1985:562).
Hälso- och sjukvårdssekretessen regleras i 7 kap. 1 § sekretesslagen och omfattar personuppgifter i de nationella kvalitetsregistren i den mån de register förs inom ramen för hälso- och sjukvården. Enligt bestämmelsen gäller sekretess för uppgifter om enskilds hälsotillstånd och andra personliga uppgifter om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Enligt 7 kap. 1 § sista stycket får en landstingskommunal eller kommunal myndighet som bedriver hälso- och sjukvård lämna uppgift till en annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller honom närstående lider men om uppgiften röjs.
I 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser om tystnadsplikt för hälso- och sjukvårdspersonal inom den enskilda hälso- och sjukvården.
I 9 kap. 4 § sekretesslagen regleras sekretesskyddet för uppgifter som rör enskilds personliga eller ekonomiska förhållanden, vilka förekommer hos myndighet i dess verksamhet som avser framställning
av statistik eller annan därmed jämförbar undersökning. Paragrafen fick en ny lydelse genom en ändring som trädde i kraft den 1 april 2001 (SFS 2001:101). Ändringen var föranledd av en EG-förordning (Rådets förordning EG nr 322/97 av den 17 februari 1997 om gemenskapsstatistik) och syftade till att anpassa bestämmelserna i sekretesslagen till denna. Den nya utformningen av bestämmelsen innebar en skärpning av sekretessen i vissa avseenden och medförde bland annat att uppgifter om avliden inte längre fick lämnas ut, utom då uppgifterna skall användas för forsknings- eller statistikändamål.
Författningsreglerade register inom hälso- och sjukvården
Hälsodataregistren är rikstäckande, centrala register som förs av centrala förvaltningsmyndigheter. Uppgifter i hälsodataregister får behandlas för att framställa statistik och för att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården. Uppgifter får även behandlas för forskning och epidemiologiska undersökningar som den personuppgiftsansvarige utför. Det åligger den personuppgiftsansvarige att se till att uppgifter i ett hälsodataregister används på ett sätt som överensstämmer med registrets ändamål. Hälsodataregister får endast innehålla de uppgifter som behövs för något eller några av de angivna ändamålen; andra uppgifter är inte tillåtna. Det är endast den personuppgiftsansvarige som får ha direktåtkomst till uppgifterna. Sekretess för dessa uppgifter regleras i 9 kap. 4 § sekretesslagen.
De personregister som används för dokumentation av vården av patienter och för sådan administration som rör enskilda patienter och som syftar till att bereda vård i enskilda fall utgör vårdregister. Det är den individinriktade verksamheten inom vården som omfattas av regleringen. Det gäller såväl sjukdomsförebyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Endast de som för angivna ändamål behöver tillgång till uppgifterna har direktåtkomst till dem. För att man skall få ta del av uppgifterna krävs att de är nödvändiga för att man skall kunna utföra sitt arbete. Åtkomsten får avse endast de uppgifter som behövs för arbetets utförande.
Nationella kvalitetsregister
Beskrivning av kvalitetsregistren
På 1970-talet började man föra kvalitetsregister inom hälso- och sjukvården. Framför allt under senare år har flera nya register skapats och i dag finns det ett 50-tal. Flera av registren har numera rikstäckning efter att tidigare ha varit lokala eller regionala. Kvalitetsregistren inrättades för att följa upp effekten av insatt behandling och förändring över tid av behandlingsresultat och är som sådana mycket värdefulla. Bland annat avsätts sedan flera år medel för utveckling och drift av dessa register för kvalitetsutveckling inom hälso- och sjukvården i de s.k. Dagmaröverenskommelserna mellan staten och sjukvårdshuvudmännen.
De nationella kvalitetsregistren utgör en särskild grupp register som alla har skapats med ambitionen att de skall kunna utvecklas och användas som kvalitetsuppföljningsinstrument på lokal, regional och nationell nivå. Det övergripande syftet med registren är att de skall bidra till att förbättra kunskaper om nyttan av och riskerna med olika typer av medicinska åtgärder och ingrepp. De innehåller unika data för arbetet med kvalitetssäkring på alla nivåer inom hälso- och sjukvården. Registren är även en viktig del i statistikframställning och forskning inom hälso- och sjukvården. När kvalitetsregistren används i vardagsvården bidrar de till en förbättrad kvalitet inom den svenska hälso- och sjukvården. Vanligen har initiativet till att skapa ett register kommit från en eller flera läkare inom aktuell specialitet. Verksamheten med registren bygger på ett frivilligt deltagande från ett stort antal olika enheter, inom hälso- och sjukvården. Uppgiftslämnande skall grundas på att de enskilda patienterna lämnar sitt samtycke till att deras medicinska data används i registren och att de deltagande vårdgivarna finner registret meningsfullt. Registren administreras vid någon klinik eller institution inom ett sjukhus. Oftast är landstinget personuppgiftsansvarig myndighet.
Registren har olika inriktning. Många har tillkommit i syfte att beskriva eventuella skillnader i användningen av olika behandlingsmetoder, i fråga om såväl geografisk spridning som de symptom på vilka metoderna används. Register som inrättats under de senaste åren har ofta varit inriktade på att belysa skillnader i kvalitet, vårdutnyttjande eller medicinsk praxis. En följd av att registren har
tillkommit med olika syften är att innehållet i dem varierar, men oftast innehåller de följande uppgifter.
- Patientdata: personnummer, ålder, kön, diagnos, symptom, indikationer för åtgärder, riskfaktorer, m.m.
- Åtgärder: operationer, typ av implantat.
- Effektdata: uppgifter som på något sätt mäter resultatet av insatsen, t.ex. i form av ökad livslängd, funktionsförmåga, och uppföljning gällande bl.a. vidare vårdbehov, dödlighet, och dödsorsak.
- Variabler som beskriver komplikationer.
- Komplementär vård; vård vid andra enheter.
För de kvalitetsregister som påbörjades före den 24 oktober 1998 tillämpades t.o.m. den 30 september 2001 tillstånd som meddelades med stöd av datalagen (1973:289). Att registreringen var frivillig förutsatte att den enskilde hade lämnat sitt samtycke för att personuppgifter skulle få registreras. Den 1 oktober 2001 blev PUL tillämplig på samtliga nationella kvalitetsregister.
Datainspektionens rapport
Datainspektionen har undersökt hanteringen av tio av de nationella kvalitetsregistren för att kontrollera hur dataskyddsreglerna i datalagen (1973:289) och PUL efterlevs. Resultatet har redovisats i Nationella kvalitetsregister, Datainspektionens Rapport 2002:1. Två centrala frågor var om informationsskyldigheten enligt datalagen och PUL uppfylls och om samtycke har inhämtats från de registrerade på ett korrekt sätt. Inspektionerna har i flera fall konstaterat att informationsskyldigheten inte uppfylls. Tillstånd meddelade enligt datalagen som ställer krav på samtycke från den som skall registreras följdes endast i begränsad omfattning. Datainspektionens utredning har visat att det råder osäkerhet hos dem som behandlar känsliga personuppgifter om huruvida det är nödvändigt att inhämta patienternas samtycke. Det råder också osäkerhet om vem som är registeransvarig eller personuppgiftsansvarig. Detta kan medföra olägenheter för de registrerade, som inte alltid vet vem de skall vända sig till om uppgifterna om dem i registren är felaktiga.
Med hänsyn till att det förekommer en omfattande behandling av mycket integritetskänsliga personuppgifter i kvalitetsregistren
finns det enligt Datainspektionens uppfattning starka skäl att låta de nationella kvalitetsregistren omfattas av en särskild registerlagstiftning.
Kort om de övriga registren
De sex regionala cancerregistren som förs vid olika regionala onkologiska center samlar in uppgifter inom sin region. De svarar för framtagandet av regional cancerstatistik och gör underlag för vårdprogram inklusive uppföljnings- och kontrollrutiner för dessa program.
Det pågår diskussioner inom hälso- och sjukvården om att inrätta ett vaccinationsregister och ett blodgivarregister. Vaccinationsregistret är tänkt att bli ett rikstäckande register som skall innehålla uppgifter om i princip alla vaccinationer som görs i landet. Vårdgivaren skall bl.a. kunna få uppgifter från registret inför behandling av en patient där det är nödvändigt att veta om patienten har vaccinerats och i så fall när vaccinationen skett. Likaså skall den enskilde kunna få besked om vilka vaccinationer som han eller hon fått och när. Det är både patientsäkerhets- och serviceskäl som motiverar registret. Blodgivarregistret är tänkt att bli ett nationellt register över samtliga blodgivare och innehålla alla uppgifter som finns om deras blod. Registret skulle göra det möjligt för den aktuella blodgivarcentralen att snabbt kunna få relevanta fakta om blodgivarens blod, då han eller hon lämnar blod på en annan central än den hon eller han i vanliga fall lämnar på. Dessa uppgifter finns i dag hos den blodgivarcentral som är blodgivarens vanliga blodgivarcentral. Registret bör också kunna bidra till möjligheten att kontrollera att blodgivare inte lämnar blod för ofta genom att lämna blod på flera ställen.
Donationsregistret hos Socialstyrelsen har funnits sedan år 1996 och är ett centralt register där alla kan registrera sin inställning till organdonation.
Socialstyrelsen för också sedan år 1989 ett register, metadonregistret, över personer som har varit aktuella inom något av de fyra programmen för metadon underhållsbehandling.
Behovet av en författningsreglering av kvalitetsregister samt översyn av övriga aktuella register
Författningsreglering av de nationella kvalitetsregistren
Redan i propositionen 1990/91:60 om offentlighet, integritet och ADB uttalade regeringen att vissa register hos Socialstyrelsen, landstingen, kommunerna och Riksförsäkringsverket på sikt borde regleras i särskilda registerlagar. En sådan reglering är ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister. Konstitutionsutskottet betonade i sitt betänkande (bet. 1990/91:KU11) vikten av att en författningsreglering kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Dessa uttalanden ledde fram till den reglering som numera finns av vårdregister och hälsodataregister.
I de nationella kvalitetsregistren behandlas en stor mängd känsliga personuppgifter. Datainspektionen har i sin inspektionsverksamhet funnit vissa brister i hanteringen av registren. För att säkerställa att registren bedrivs med nödvändig hänsyn till skyddet för den personliga integriteten bör registren författningsregleras. Lagregleringen är också en förutsättning för att bibehålla allmänhetens förtroende för hanteringen av personuppgifter i vården och för att kunna behålla och utveckla de nationella kvalitetsregistren i den utsträckning som behövs. Regeringen anser därför att det behövs en författningsreglering av dessa register.
Sekretesslagstiftning som berör de nationella kvalitetsregistren
De nationella kvalitetsregistren behöver ofta få ut uppgifter från Epidemiologiskt Centrum vid Socialstyrelsen, om avlidna. Genom lagändring i 9 kap. 4 § sekretesslagen (SFS 2001:101) upphörde denna möjlighet, vilket har orsakat problem vid förandet av kvalitetsregistren. Ett avgörande från Kammarrätten i Stockholm illustrerar problemet.
Kammarrätten i Stockholm avslog i en dom den 9 juli 2002, mål nr 4060-2002, klagandens begäran att få ut uppgifter från Socialstyrelsen om avlidnas dödsdatum och dödsorsak med hänvisning till att uppgifterna inte ansågs behövas för forsknings- och statistikändamål och därmed omfattades av absolut sekretess. Begäran
kom från Thoraxkliniken Karolinska sjukhuset i Stockholm och uppgifterna var avsedda att användas för insamling och analys i Hjärtkirurgiregistret, ett av de s.k. nationella kvalitetsregistren.
Då kvalitetsregister således varken hänförs till forsknings- eller statistikändamål kan registren inte längre få ut dessa uppgifter. Uppgifter om dödsorsak är ofta en avgörande förutsättning för kvalitetsregistrens funktion som kvalitets- och uppföljningsinstrument. Uppgift om dödsdatum går att inhämta från andra källor som inte omfattas av absolut sekretess, som exempelvis folkbokföringsregistret.
Översyn av övriga register
De regionala cancerregistren, blodgivarregistren och vaccinationsregistret, men i viss mån också donationsregistret och metadonregistret kommer att innehålla eller innehåller redan en stor mängd känsliga personuppgifter. Det är därför särskilt viktigt att de ingår i den översyn av området som utredaren får i uppdrag att utföra.
Uppdraget
Utredaren skall kartlägga de register för uppföljning och kvalitetssäkring som finns i hälso- och sjukvården och i annan medicinsk verksamhet. En fråga är vilka krav som skall ställas för att ett register skall anses vara ett nationellt kvalitetsregister. I uppdraget ingår således att lämna förslag till hur dessa nationella kvalitetsregister skall definieras.
Utredaren skall föreslå hur behandlingen av personuppgifter i nationella kvalitetsregister inom hälso- och sjukvården eller annan medicinsk verksamhet skall författningsregleras.
Utredaren skall särskilt beakta vilka uppgifter som skall få registreras och vad som skall krävas vid behandling av uppgifterna. Utgångspunkten bör, liksom i dag, vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till behandlingen av personuppgifterna, dock skall utredaren analysera konsekvenserna av att registreringen inte alltid blir heltäckande om samtycke krävs. Utredaren skall göra en lämplig avvägning mellan enskildas behov av skydd för den personliga integriteten å ena sidan och nyttan för samhället av de nationella kvalitetsregistren å den andra. Utredaren
skall även överväga för vilka ändamål uppgifterna får behandlas, vad som skall gälla för register av olika livslängd, för bevarande av uppgifterna samt vem som skall få åtkomst till uppgifterna. Här avses om uppgifterna bör få överföras dels mellan verksamheter inom hälso- och sjukvården inklusive den enskilda vården, dels mellan hälso- och sjukvården och myndigheter eller andra organisationer.
I utredarens uppdrag ingår att analysera om och i vilken utsträckning uppgifter skall kunna lämnas och registreras för verksamhet som bedrivs av andra än landsting.
Utredaren skall också granska om sekretessregleringen, främst bestämmelsen i 9 kap. 4 § sekretesslagen, utgör hinder för att uppgifter skall kunna lämnas till respektive lämnas ut från kvalitetsregistren. Om så är fallet skall utredaren överväga om, och i så fall i vilken utsträckning, uppgifter bör få lämnas till respektive från registren. I sistnämnda fall skall utredaren lämna förslag som gör sådant uppgiftsutlämnande möjligt. Om utredaren stöter på andra problem med anledning av gällande sekretessbestämmelser, skall utredaren även se över dessa samt lämna förslag till lösning på problemen.
Utredaren skall överväga om övriga register, som de regionala cancerregistren, donationsregistret och metadonregistret behöver författningsregleras. Detta gäller också de register man planerar att inrätta, som vaccinationsregistret och blodgivarregistret. Om utredaren anser det nödvändigt, skall han också lämna förslag till sådan författning.
Utredaren skall beakta de författningar som existerar i dag och som påverkar behandlingen av personuppgifter på området såsom personuppgiftslagen (1998:204) och det underliggande EG-direktivet om personuppgifter, sekretesslagen (1980:100), patientjournallagen (1985:562) och hälso- och sjukvårdslagstiftningen i övrigt. Utredaren skall, i förekommande fall, föreslå följdändringar i andra lagar och förordningar.
Hälso- och sjukvården utförs i dag av även andra än landstingen, bl.a. av privata aktörer. En del av dem är små företag som också kan ha intresse av att utveckla vårdens kvalitet och därför själva vill föra kvalitetsregister. Detta kan också gälla för övriga register som är i fråga. För dessa aktörer är det särskilt viktigt att de administrativa konsekvenserna av en författningsreglering inte går utöver de intressen regleringen avser att skydda. Detta är en omständighet som utredaren skall beakta i en särskild analys av konsekvenserna av reglers effekter för små företags villkor. Utredaren skall, när det
gäller förslagens konsekvenser för små företag, samråda med Näringslivets nämnd för regelgranskning (NNR).
Utredaren bör samråda med Datainspektionen.
Redovisning av uppdraget
Uppdraget skall redovisas senast den 30 juni 2004.
(Socialdepartementet)
Kommittédirektiv
Tilläggsdirektiv till Utredningen om författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården, m.m. (S 2003:03)
Dir. 2004:95
Beslut vid regeringssammanträde den 23 juni 2004.
Sammanfattning av uppdraget
Den särskilda utredaren skall se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området.
Utredaren skall vid utformningen av sina förslag göra en avvägning mellan enskildas behov av skydd för den personliga integriteten och nyttan för samhället och patientsäkerheten.
Utredaren skall inom ramen för uppdraget överväga frågor som rör
- elektroniska patientjournaler,
- för vilka ändamål personuppgifter skall få behandlas,
- överföring av uppgifter både mellan olika organisatoriska vårdenheter inom den offentliga hälso- och sjukvården, samt
- mellan den offentliga hälso- och sjukvården och verksamhet som bedrivs av andra än landsting.
Utredaren skall i sina överväganden utgå från att all journalhantering i framtiden i huvudsak skall vara elektronisk. Formerna för den enskilde patientens möjlighet att ta del av uppgifter om sig själv via Internet bör också utredas.
Utredaren skall särskilt se över bestämmelserna i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister samt lämna förslag till ändringar i dessa eller till en ny författningsreglering.
Utredaren skall också utreda frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifterna i kvalitetsregistren. Utredaren skall vid behov lämna förslag till bestämmelser om detta.
I utredarens uppdrag ingår också att se över frågan om Läkemedelsverket skall få föra ett register för uppföljning av läkemedels ändamålsenlighet. Utredaren skall överväga hur ett sådant register skall regleras.
Utredaren får vidare i uppdrag att göra en generell översyn av lagen (1996:1156) om receptregister och anpassa den till övrig lagstiftning inom området.
Behandlingen av personuppgifter skall regleras med beaktande av personuppgiftslagen (1998:204).
Utredaren skall göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister och sekretesslagen (1980:100). Utredaren skall också göra en översyn av andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget, t.ex. lagen (1998:531 ) om yrkesverksamhet på hälso- och sjukvårdens område. Utredaren skall lämna förslag till nödvändiga ändringar i även dessa författningar.
Den översyn av författningarna som skall göras och de förslag som lämnas skall utgå från syftet att skapa en sammanhållen reglering av hanteringen av personuppgifter inom hälso- och sjukvården.
Utredaren skall redovisa uppdraget senast den 31 december 2005.
Bakgrund
IT-utvecklingen inom hälso- och sjukvården
Hanteringen av datalagring och informationsflöden inom hälso- och sjukvårdssektorn har under senare år undergått en genomgripande förändring. Från att tidigare ha varit en helt och hållet pappersbaserad hantering, har den tekniska utvecklingen medfört att en övervägande och ständigt växande andel av allt informationsutbyte nu sker i elektronisk form.
En ökad användning av IT-stöd inom hälso- och sjukvården skapar helt nya möjligheter för sektorn att använda befintliga resurser på ett mer effektivt sätt. Genom att digitalisera en rad administrativa processer och därigenom effektivisera hanteringen av exempelvis provsvar, remisser och journalföring, kan stora personella och ekonomiska resurser frigöras för sjukvårdshuvudmännen. Den ökade användningen av IT-stöd inom hälso- och sjukvården utgör därmed ett kraftfullt verktyg för att minska vårdpersonalens administrativa börda och som en konsekvens stärka sektorns kärnverksamhet, vilket
är till stor vinst såväl för patienter och anhöriga som vårdpersonal och sjukvårdshuvudmän.
I detta sammanhang bör också vikten av att beakta frågor om ITsäkerhet för att skydda de registrerades integritet särskilt uppmärksammas i utredningsarbetet.
Ett nytt arbetssätt och en ökad digitalisering av hälso- och sjukvårdssektorn medför också nya utmaningar. Dels aktualiseras tidigare okända juridiska frågeställningar, dels uppstår en diskussion om de tekniska hinder som fortfarande existerar mellan olika vårdgivare. Tre initiativ för att lösa problemställningarna ovan bör i detta sammanhang särskilt nämnas.
Hösten 2003 beslutade regeringen att tillsätta en IT-politisk strategigrupp med uppdrag att främja informationssamhällets fortsatta utveckling i Sverige. Gruppen har identifierat ett antal fokusområden som man kommer att koncentrera sin verksamhet kring. Ett av dessa fokusområden är vård och omsorg, vilket innebär att man tar ett samlat grepp om utvecklingen av informations- och kommunikationsteknik inom såväl hälso- och sjukvården som de sociala omsorgerna. En arbetsgrupp bestående av centrala aktörer inom sektorn har nu bildats som en undergrupp till strategigruppen.
Carelink är en medlemsorganisation där landsting, regioner, kommuner och privata vårdgivare inbjuds att bli medlemmar för att finna gemensamma lösningar för att möjliggöra en ökad IT-användning inom hälso- och sjukvården. Förbättrade samverkansformer skapar möjligheter för ett ökat informationsutbyte och gemensamt nyttjande av resurser över kommun- och landstingsgränserna. Det mest konkreta resultatet av Carelinks verksamhet är etablerandet av Sjunet, en nationell IT-infrastruktur för samtliga Sveriges landsting och ett växande antal kommuner. Detta nätverk är en grundförutsättning för ett nationellt informationsutbyte mellan de olika vårdnivåerna.
År 2000 beslutade riksdagen om en nationell handlingsplan för utveckling av hälso- och sjukvården för perioden 2001–2004. I samband härmed uppdrog regeringen åt bl.a. Socialstyrelsen att svara för samordningen av arbetet med att förbättra informationsförsörjning och verksamhetsuppföljning inom hälso- och sjukvården, bl.a. med hjälp av IT. Socialstyrelsens projekt som bedrivs under namnet InfoVU, skall avrapporteras till regeringen 2005.
Kvalitetsregisterutredningens arbete
Kvalitetsregisterutredningen (S 2003:03) har i sitt arbete med att lämna förslag till en särskild författningsreglering av nationella kvalitetsregister stött på flera frågor som gäller gränsdragningen mellan en reglering av dessa register och övrig reglering, främst vårdregisterlagen (1998:544). Då det sedan tidigare finns ett behov av en bredare översyn av personuppgiftshanteringen inom hälso- och sjukvården, anser regeringen att det är lämpligt att området nu ses över i sin helhet. Kvalitetsregisterutredningen får därför i uppdrag att göra denna översyn. För en närmare redogörelse för kvalitetsregisterbegreppet hänvisas till utredningens direktiv, dir. 2003:42.
Nuvarande reglering
Förutom de författningar som sedan tidigare finns angivna i direktiven till Kvalitetsregisterutredningen (S 2003:03) har följande lagar betydelse för behandlingen av personuppgifter inom hälso- och sjukvården.
Patientjournallagen (1985:562) trädde i kraft den 1 januari 1986 och innehåller bestämmelser om patientjournalens innehåll, utformning och hantering, hur journalerna skall bevaras, vilka yrkeskategorier som är skyldiga att föra journal, omhändertagande av journaler, offentlighet och sekretess m.m. Lagen är teknikoberoende, dvs. den gäller för såväl automatiserad som viss manuell hantering av personuppgifter.
Apoteket AB får enligt 1 § lagen (1996:1156) om receptregister för vissa ändamål med hjälp av automatisk databehandling föra ett register (receptregister) över förskrivningar av läkemedel och andra varor som omfattas av lagen (2002:160) om läkemedelsförmåner m.m. Registret tillkom i första hand för att användas som underlag för faktureringen från Apoteket AB till landstingen för deras respektive delar av kostnaderna för läkemedelsförmånerna. Registret är också avsett att användas för att samla in och vidarebefordra information från recepten för landstingens ekonomiska uppföljning och planering samt för förskrivarnas, verksamhetschefernas, läkemedelskommittéernas och Socialstyrelsens medicinska uppföljning och kvalitetssäkringsarbete samt för Socialstyrelsens tillsyn.
Tidigare översyner och utredningar
I mars 1999 uppdrog regeringen åt Socialstyrelsen att utreda omfattningen av administrativt arbete i vården och föreslå åtgärder för att få bort onödig administration i hälso- och sjukvården. Rapporten Omfattningen av administration i vården överlämnades till regeringen i januari 2000. Den innehöll förslag till flera åtgärder kring dokumentationsfrågor.
I regleringsbrevet för år 2000 fick Socialstyrelsen i uppdrag att utvärdera och se över patientjournallagen (1985:562). I utvärderingen skulle det ingå en analys av kraven på och formerna för journaldokumentationen. Utifrån utvärderingen skulle Socialstyrelsen föreslå de förändringar som var påkallade mot bakgrund av utvecklingen inom hälso- och sjukvården. Uppdraget redovisades i december 2001, i rapporten Patientjournallagen – en översyn med förslag till författningsändringar.
Sekretess m.m.
Sekretess inom den offentliga hälso- och sjukvården regleras i sekretesslagen (1980:100). Sekretess gäller, med vissa undantag, inom hälso- och sjukvården för uppgift om enskild persons hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Sekretessen kan innebära hinder mot att uppgifter om en patient lämnas från en enhet till en annan inom en myndighet, mellan myndigheter eller från en myndighet till en enskild vårdgivare.
Bestämmelser om tystnadsplikt inom enskild hälso- och sjukvård regleras i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. I lagen stadgas att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskild persons hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i sekretesslagens bestämmelse om sekretess inom hälso- och sjukvården.
Regeringen beslutade i april 1998 att tillsätta en parlamentarisk kommitté som bl.a. skulle göra en allmän översyn av sekretesslagen
(1980:100) samt särskilt uppmärksamma vissa frågor som rör sekretess och myndigheternas möjligheter att samverka (Offentlighets- och sekretesskommittén, dir. 1998:32). Kommittén överlämnade den 4 december 2003 sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) till regeringen. Betänkandet innehåller bl.a. förslag som rör sekretessgränserna inom ett landsting och möjligheterna till sekretessgenombrott mellan myndigheter och i förhållande till enskilda vårdgivare. Förslagen har betydelse för frågan om överföring av uppgifter mellan olika vårdgivare inom hälso- och sjukvården med hjälp av IT.
Behovet av en samlad översyn
Under senare år har det av olika skäl uppstått ett behov av en översyn av regleringen av behandlingen av personuppgifter inom hälso- och sjukvården. Användningen av automatiserad databehandling inom området har ökat. Kraven på att landstingen skall bedriva kvalitetsuppföljning av sin verksamhet har ökat. Patienter har fått större möjligheter att välja vård utanför sitt hemlandsting. Patienter bereds också möjligheter till vård utanför Sveriges gränser och medborgare i andra länder, framför allt från övriga Europa, kan söka vård vid svenska sjukhus. Detta innebär ökade krav på landstingens planerings- och kvalitetssäkringsarbete.
Hälso- och sjukvården har under senare år genomgått stora strukturförändringar och antalet driftsformer inom sjukvården är i dag fler än för några år sedan. Ett stort antal privata vårdgivare ingår numera regelmässigt i vårdkedjan. En utveckling mot kortare vårdtider och en större rörlighet för både patienter och personal har pågått i flera år och allt tyder på att den kommer att fortsätta. Genom t.ex. inhyrning av personal från bemanningsföretag ökar det antal personer som direkt involveras i vården av en enskild patient. Det har också blivit allt vanligare att man inom hälso- och sjukvården dokumenterar uppgifter kring patienten i elektroniska patientjournaler. Inom primärvården används sådana journaler av en mycket stor andel av allmänläkarna och även på sjukhusen används elektroniska journaler i allt större utsträckning. Samtidigt har patienternas inflytande och kännedom om rätten till information m.m. ökat. Sammantaget innebär dessa faktorer att de krav som samhället, patienterna och omvärlden ställer på patientdokumentation har ökat.
Ett antal frågor om hur de olika författningar som reglerar området förhåller sig till varandra måste besvaras, både vad gäller innehåll och gränsdragningsproblem. Möjligheten att skapa en sammanhållen lagstiftning för behandlingen av personuppgifter inom hälso- och sjukvården skall därför utredas.
Behovet av en översyn av patientjournallagen
Den tid och de resurser som hälso- och sjukvården lägger på administration och dokumentation är betydande. En bra och enkel journalföring kan bidra till att resurserna används mer effektivt vilket leder till att dessa i stället kan användas till vård och omsorg för den enskilde. Om en ny reglering av journalföringen också leder till att uppföljning och utvärdering kan förbättras kan det i sin tur innebära att kvaliteten och patientsäkerheten i vården ökar. Det finns därför ett behov av att utreda om en mer enhetlig hantering av journaldokumentationen i hela landet kan säkra hanteringen av personuppgifter inom vården samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan kan stärkas.
Överföring av patientuppgifter mellan olika organisatoriska vårdenheter
Den ökade användningen av elektroniska journaler gör det tekniskt möjligt att snabbt och effektivt inhämta eller föra över uppgifter om en patient till en annan vårdenhet när detta behövs för att ge patienten vård eller behandling. Det är dock viktigt att ställa eventuella effektivitetsvinster mot den enskildes rätt till integritetsskydd.
Socialstyrelsen har i rapporten Patientjournallagen – en översyn med förslag till författningsändringar föreslagit att det bör framgå av patientjournallagen att en enda sammanhållen journal skall kunna föras per patient. Syftet med bestämmelsen är att minska onödig dokumentation i vården, så att samma uppgift inte skall behöva dokumenteras flera gånger. Vidare menade styrelsen att ett sätt att ytterligare nedbringa tiden för patientdokumentation är att använda en och samma journal för olika vårdtillfällen vid skilda enheter. För att detta skall kunna ske gäller att sekretessen inte lägger hinder i vägen och att möjligheter ges till att gemensamt behandla personuppgifter.
Datainspektionen har i sitt remissvar över Socialstyrelsens rapport pekat på att det ur sekretess- och integritetshänseende finns flera problem med en sådan lösning. Det saknas också en analys av hur bestämmelserna i personuppgiftslagen (1998:204) och vårdregisterlagen (1998:544) skall kunna tillämpas när en gemensam journal förs med stöd av IT. Som exempel kan nämnas frågan om vem som skall betraktas som personuppgiftsansvarig och vara skyldig att informera om den personuppgiftsbehandling som sker och vidta de tekniska och organisatoriska säkerhetsåtgärder som personuppgiftslagen kräver. Lämpligheten av, samt förutsättningarna för, en sammanhållen journal för varje patient bör därför utredas.
Vidare bör utredaren se över förutsättningarna för att överföra personuppgifter mellan verksamheter inom privat och offentlig hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna används eller bör få användas. I detta sammanhang skall Offentlighets- och sekretesskommitténs förslag särskilt beaktas.
Journalhantering vid gränsöverskridande vård
Enligt 5 § patientjournallagen (1985:562) skall de journalhandlingar som upprättas inom hälso- och sjukvården vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten. I Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen finns vissa undantag vad gäller språket (SOSFS 1993:20). Det handlar om de fall då hälso- och sjukvårdspersonalen har utbildning från ett annat land, då journal i vissa fall får föras på annat språk, eller de fall då patienten inte behärskar det svenska språket.
Mot bakgrund av att den fria rörligheten av personer inom EU öppnar för möjligheter till gränsöverskridande vård finns det behov av att utreda om bestämmelserna på ett tillräckligt sätt tillgodoser patienternas rätt att kunna ta del av dokumentationen.
Behovet av en översyn av vårdregisterlagen
Automatiserad databehandling av personuppgifter vid medicinsk behandling i sjukvården regleras i dag genom vårdregisterlagen (1998:544). Enligt lagen får uppgifter bland annat behandlas för uppföljning, utvärdering och kvalitetssäkring och administration på
verksamhetsområdet. Dessa ändamål sammanfaller till vissa delar med de syften som ligger bakom kvalitetsregistren.
Inom hälso- och sjukvården pågår en ständig utveckling mot att tekniskt integrera kvalitetssäkringsarbetet med elektronisk patientjournalföring eller annan individinriktad verksamhet. Vid en sådan integrering blir det allt svårare att särskilja personuppgiftsbehandling som sker i respektive utanför ett vårdregister dvs. att avgöra om en behandling av personuppgifter regleras av vårdregisterlagen eller inte. Det vore olyckligt om samma personuppgiftsbehandling inom den medicinska vården skulle komma att regleras av två olika lagar, vårdregisterlagen och en ny lag om kvalitetsregister. Bestämmelserna i vårdregisterlagen behöver därför ses över och utformas i överensstämmelse med övrig lagstiftning på området, inte minst den författningsreglering som skall gälla för kvalitetsregistren.
Det är inte möjligt att lämna ut uppgifter i ett vårdregister för automatiserad behandling för ett ändamål som avviker från 3 och 4 §§vårdregisterlagen. Som exempel kan nämnas utlämnande av uppgifter från ett vårdregister för behandling med stöd av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Det dubbla huvudmannaskapet, framförallt vid vård av äldre och psykiskt sjuka, ställer stora krav på väl fungerande informationssystem och samverkan mellan landsting och kommuner.
Det finns i dag vissa problem med att tolka ändamålsbestämmelserna i vårdregisterlagen. Bland annat har frågan uppstått i vilken utsträckning personuppgifter i ett vårdregister kan användas för utvärdering, kvalitetssäkring och uppföljning av landstingens verksamhet. Det finns därför anledning att se över bestämmelserna också från dessa utgångspunkter.
Vidare behöver begreppet direktåtkomst ses över. Endast den som behöver uppgifter ur ett vårdregister för sitt arbete har direktåtkomst till dessa. Detta innebär att patienten saknar rätt till direktåtkomst till uppgifter om sig själv ur ett vårdregister. Utredaren bör se över möjligheten att införa en sådan rätt till direktåtkomst för patienten, med beaktande av möjligheten att utnyttja informationsteknikens fördelar samt möjligheten att utföra nödvändig sekretessprövning.
Behovet av översyn av övriga frågor
Internationella frågor för kvalitetsregisterföring
Det sker ett ökat utbyte av personuppgifter mellan kvalitetsregister i Sverige och kvalitetsregister som förs inom hälso- och sjukvård utomlands.
Särskilt register för uppföljning av läkemedels ändamålsenlighet
I en skrivelse till Socialdepartementet har Läkemedelsverket hemställt att regeringen inom ramen för lagen (1998:543) om hälsodataregister skall utfärda föreskrifter för uppföljning av läkemedels ändamålsenlighet (S2002/5495/HS). Verket pekar på att det inom det centrala förfarandet inom EU, jfr rådets förordning (EEG) nr 2309/93 av den 22 juli 1993 om gemenskapsförfaranden för godkännande för försäljning av och tillsyn över humanläkemedel och veterinärmedicinska läkemedel samt om inrättande av en europeisk läkemedelsmyndighet (EGT L 214, 24.08.1993, s. 1, Celex 393R2309), har beslutats om godkännanden av läkemedel för försäljning med villkor att uppföljningsregister upprättas för att behandla uppgifter om bl.a. känsliga patientdata, läkemedelsförskrivning, användning och effekter. Det har föreslagits att läkemedelsföretagen själva skall vara personuppgiftsansvariga. Läkemedelsverket har motsatt sig att dessa register skall föras av företagen och ansett att denna uppgift borde ligga på tillsynsmyndigheten.
Ändamålet för ett sådant uppföljningsregister föreslås vara framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska undersökningar. Ändringarna är enligt Läkemedelsverket nödvändiga för att verket skall kunna fullgöra sina tillsynsåtaganden enligt läkemedelslagen (1992:859) och förordningen (1996:611) med instruktion för Läkemedelsverket.
Utredningen om uppföljning inom läkemedelsområdet (S 2002:04) gjorde i betänkandet Ökad patientsäkerhet på läkemedelsområdet (SOU 2003:52) bedömningen att Läkemedelsverket, för att kunna lösa sina nationella uppgifter men också leva upp till de krav på uppföljning som åläggs av EU, bör ges möjligheter att följa upp läkemedel med särskilda säkerhetsproblem eller andra medicinska frågeställningar som kräver svar inom något eller några få år. Utredningen ansåg att denna uppgift inte skulle kunna lösas med det
läkemedelsregister som den föreslog skulle inrättas i form av ett hälsodataregister vid Socialstyrelsen. Utredningen drog slutsatsen att Läkemedelsverkets behov av ett register för uppföljning av läkemedels ändamålsenlighet bäst skulle kunna tillgodoses genom att det skapades ett särskilt register.
Behov av särskilda uppföljningsinsatser för läkemedel kan identifieras redan vid godkännandet, exempelvis om genomförda studier är av kort varaktighet. Behovet kan också uppkomma efter en tids användning av läkemedlet i klinisk vardag. Uppföljningsbehovet kan vara specifikt för vissa patientgrupper som inte har behandlats i kliniska prövningar, exempelvis äldre och barn. Det kan också gälla s.k. särläkemedel där få patienter behandlas och ytterligare kunskap måste insamlas systematiskt. För att kunna identifiera sällsynta biverkningar eller effekter krävs stora tal varför data måste insamlas på nationell nivå. Frågeställningar som kan behöva belysas är exempelvis risker för cancer eller svåra infektioner som tuberkulos vid behandling med läkemedel mot diabetes, reumatism och HIV.
Dessa frågeställningar kan inte besvaras snabbt och tillförlitligt utan tillgång till strukturerad medicinsk information som kan tas fram i ett register för uppföljning av läkemedlens ändamålsenlighet. Läkemedelsverket har redan idag delvis tillgång till information av denna karaktär men verket kan inte sammanställa och bearbeta denna information på ett ändamålsenligt sätt på grund av avsaknad av legalt stöd.
Uppföljning, utvärdering och kvalitetssäkring
Utredningen om uppföljning inom läkemedelsområdet hade bl.a. i uppdrag att överväga vilka åtgärder som kunde vidtas för att tillgodose landstingens behov av förbättrade möjligheter till uppföljning av läkemedel. Utredningen fann i sitt betänkande Ökad patientsäkerhet på läkemedelsområdet (SOU 2003:52) att det finns ett berättigat intresse för det allmänna av förbättrade uppföljningsmöjligheter. I fråga om landstingens uppföljningsmöjligheter lämnade utredningen dock inga förslag. Utredningen ansåg att landstingens krav på uppföljning skulle kräva inrättande av olika läkemedelsregister som visserligen skulle medföra effektivare uppföljning av läkemedelsanvändningen, men som av hänsyn till skyddet för den enskildes integritet inte kunde anses motiverade.
En effektivare användning av läkemedel innebär fördelar för såväl den enskilde patienten som det allmänna. Regeringen anser därför att landstingens behov av och möjligheter till uppföljning och utvärdering skall utredas ytterligare. Detta innebär bl.a. att dagens möjligheter till uppföljning bör kartläggas. Patientsäkerheten skall särskilt beaktas.
Receptregisterlagen – en översyn
Utredningen om uppföljning inom läkemedelsområdet gjorde i betänkandet Ökad patientsäkerhet på läkemedelsområdet (SOU 2003:52) bedömningen att en översyn av receptregisterlagens (1996:1156) regler är motiverad i syfte att bättre anpassa denna till reglerna i personuppgiftslagen (1998:204) En grundläggande orsak till behovet är att frågan inte uppmärksammades då personuppgiftslagen år 2001 ersatte den tidigare datalagen (1973:289). Enligt personuppgiftslagen är det i princip tillåtet att behandla personuppgifter om den registrerade har lämnat sitt samtycke till det och de grundläggande kraven i 9 § personuppgiftslagen är uppfyllda. Receptregisterlagen omfattar ändamål som får tillgodoses dels utan den enskildes samtycke, dels i två avseenden när det gäller registrering med den enskildes samtycke. Konsekvensen har blivit att viss osäkerhet kan råda om vilka principer som numera skall anses gälla vid tolkningen av receptregisterlagens tillämpningsområde.
Uppdraget
Utredaren skall lämna förslag till en reglering av behandlingen av personuppgifter inom hälso- och sjukvården. Utredaren skall i sitt uppdrag överväga för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården. Regleringen skall omfatta behandlingen av personuppgifter i den medicinska vården, den kvalitetsförbättrande verksamheten, forskningen och den administrativa verksamheten inom hälso- och sjukvården.
Utredaren skall i sina förslag utgå från hur personuppgifter bör hanteras i syfte att öka patientsäkerheten och möjligheterna till patientmedverkan, förbättra såväl den medicinska som den ekonomiska uppföljningen samt minska administrationen samtidigt som hanteringen av personuppgifter säkras och den personliga integriteten skyddas. För uppdraget som helhet gäller att utredaren
skall göra en lämplig avvägning mellan skydd av den personliga integriteten å ena sidan och nyttan för samhället och patientsäkerheten å andra sidan. Förslagen skall vidare syfta till att skapa en väl fungerande och sammanhängande reglering av området.
Utgångspunkten skall, liksom i dag, vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till utbyte av information om honom eller henne och till alla konkreta åtgärder som vidtas för dennes vård och behandling. Om undantag från denna huvudregel föreslås skall fördelar och nackdelar med ett sådant förslag noggrant belysas.
I uppdraget ingår att särskilt se över bestämmelserna i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister samt att lämna förslag till ändringar i dessa eller, om utredaren finner det mer lämpligt, till en ny författningsreglering.
Utredaren skall analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal för varje patient, på nationell nivå eller på landstingsnivå. Om utredaren finner att en sammanhållen journal är ändamålsenlig utifrån patientsäkerhet, förbättrad uppföljning, begränsad administration samt att den är förenlig med skyddet av den personliga integriteten skall han lämna de författningsförslag som är nödvändiga. Om utredaren finner att en sammanhållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall utredaren granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom privat och offentlig hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna används eller bör få användas. Utredaren skall lämna förslag till hur detta skall regleras. Vid förskrivning av läkemedel kan det vara angeläget att inhämta information om tidigare förskrivningar för patienten. Utredaren skall därför överväga om förskrivare av patientsäkerhetsskäl bör kunna ta del av uppgifter om andra förskrivare som patienten haft kontakt med under den senaste tiden för att med denne kunna diskutera patientens läkemedelssituation inför en ny förskrivning av läkemedel. Utredaren skall överväga vilken information som krävs för att den tidigare förskrivaren skall kunna kontaktas och lämna de förslag som krävs.
I uppdraget ingår att utreda om bestämmelserna om språk vid journalföring tillgodoser patienternas rätt att kunna ta del av sin patientjournal samt att i förekommande fall lämna förslag till lämplig reglering.
Utredaren skall se över och vid behov föreslå nya bestämmelser kring den överföring av personuppgifter som förekommer i det internationella samarbete som många av kvalitetsregistren deltar i.
Vidare skall utredaren granska och analysera vårdregisterlagens bestämmelser för en anpassning till näraliggande lagstiftning på området samt lämna förslag till en lämplig reglering. Utredaren skall särskilt beakta landstingens möjligheter att kunna bedriva uppföljning, utvärdering och kvalitetssäkring av sin verksamhet samt landstingens samverkan med kommuner kring vissa patientkategorier, t.ex. psykiskt sjuka och äldre personer. I den mån förtydligande eller tillägg till befintlig lagstiftning bedöms vara nödvändig för att sådan uppföljning skall kunna genomföras, skall utredaren lämna författningsförslag. Vidare ingår det i uppdraget att se över möjligheterna för patienten att via Internet få ta del av uppgifter om sig själv på ett sätt som möjliggör nödvändig sekretessprövning.
En effektivare användning av läkemedel innebär fördelar för såväl den enskilde som samhället i stort. Utredaren skall redovisa hur landstingens möjligheter till uppföljning, utvärdering och kvalitetssäkring, särskilt med avseende på förskrivning och användning av läkemedel på förskrivar- och individnivå, kan tillgodoses utifrån de förslag som utredaren i övrigt lämnar om behandlingen av personuppgifter. Om dessa förslag inte tillgodoser landstingens behov skall utredaren lämna de förslag som är nödvändiga för att detta skall bli möjligt.
Utredaren skall överväga om, och i så fall hur, ett register för läkemedels ändamålsenlighet bör utformas och, mot bakgrund av övriga överväganden, vid behov lämna förslag till en reglering för ett sådant register hos Läkemedelsverket.
Utredaren skall även se över receptregisterlagen (1996:1156), i syfte att anpassa den till övrig lagstiftning på området, däribland bestämmelserna i personuppgiftslagen, samt lämna de förslag till ändringar som utredaren anser lämpliga, eller, vid behov, en ny författning.
Behandlingen av personuppgifter skall regleras mot bakgrund av personuppgiftslagen (1998:204.)
Utredaren skall göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister och sekretesslagen (1980:100). Utredaren skall också göra en översyn av andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget. Utredaren skall lämna förslag till nödvändiga ändringar i även dessa författningar.
Den översyn av författningarna som skall göras och de förslag som lämnas skall utgå från syftet att skapa en sammanhållen reglering av hanteringen av personuppgifter inom hälso- och sjukvården.
Utredningen skall ha som utgångspunkt att all journalföring i framtiden i huvudsak skall vara elektronisk. Vidare bör utredaren i sina förslag utgå från de datatekniska möjligheter som finns i dag att t.ex. hantera databaser och begränsa antalet användare. I dessa frågor skall utredaren samråda med regeringens IT-politiska strategigrupp, InfoVU-projektet och Carelink.
Utredaren skall i förekommande fall lämna förslag till nödvändig speciallagstiftning. Eftersom det är regeringens mening att speciallagstiftning som huvudregel bör gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för den verksamhet som omfattas av lagstiftningen, skall utredaren lämna förslag till lagstiftning utformad efter sådana riktlinjer.
Hälso- och sjukvården utförs i dag även av andra än landstingen, bl.a. privata aktörer. En del av dem är små företag som också berörs av utredarens uppdrag. Detta är en omständighet som utredaren skall beakta i en särskild analys av konsekvenserna av reglers effekter för små företags villkor. Utredaren skall, när det gäller förslagens konsekvenser för små företag, samråda med Näringslivets regelnämnd (NNR).
Om utredningens förslag påverkar kostnaderna eller intäkterna för staten, kommuner, landsting eller enskilda, skall en beräkning av dessa kostnader redovisas. Vid kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall utredaren föreslå en finansiering.
Utredaren skall i sitt arbete samråda med Läkemedelsverket, Socialstyrelsen och andra berörda organisationer.
Inom regeringskansliet har ett uppdrag givits att analysera försäkringsbolagens hantering av patientjournaler och annan information om den enskildes hälsa. Mot bakgrund av analysen skall övervägas om det bör införas begränsningar när det gäller försäkringsbolagens möjligheter att begära att den som vill teckna en försäkring ger bolaget tillgång till information från hälso- och sjukvården. Utredaren skall samråda med den som har fått detta uppdrag.
Redovisning av uppdraget
Utredaren skall redovisa uppdraget senast den 31 december 2005.
(Socialdepartementet)
Kommittédirektiv
Tilläggsdirektiv till Utredningen om författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården, m.m. (S 2003:03)
Dir. 2005:150
Beslut vid regeringssammanträde den 20 december 2005.
Sammanfattning av uppdraget
Den särskilda utredaren skall utarbeta förslag till författningsreglering av det nationella register för vaccinationer som i dag förs i projektform av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen. Registret planeras av dessa myndigheter bestå av dels en vårddatabas, dels en analysdatabas.
Frågan om författningsreglering av den del som utgör vårddatabasen omfattas av utredarens nuvarande uppdrag enligt tidigare beslutade tilläggsdirektiv till utredningen (dir. 2004:95).
Utredarens utgångspunkt skall vara att analysdatabasen kan regleras som ett hälsodataregister. Om utredaren finner att starka skäl talar emot att registret regleras som ett hälsodataregister, skall utredaren redovisa skälen för detta samt utarbeta ett förslag till annan reglering. Utredaren skall bland annat analysera i vilken utsträckning information skall få föras över mellan vårddatabasen och analysdatabasen och andra personuppgiftsregister. Utredaren skall också analysera de sekretessfrågor som uppkommer med anledning av förslaget till reglering. Utredaren skall göra en bedömning av huruvida rapporteringen av uppgifter till analysdatabasen skall vara obligatorisk för vårdgivaren och bygga på samtycke från patienten.
Utredaren skall utgå från att Smittskyddsinstitutet är den myndighet som skall få i uppdrag att ansvara för ett nationellt register för vaccinationer.
Utredningen skall senast den 1 oktober 2006 redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt
sekretessfrågor med anledning av dessa uppgifter. Utredningen skall redovisa resultatet av sitt arbete i övriga delar, däribland det uppdrag som anges i detta direktiv, senast den 31 december 2006.
Bakgrund
Vaccinationer är ett av de viktigaste medlen för att begränsa smittspridning och ge skydd mot infektionssjukdomar. Vacciner ges till friska individer och ofta till barn. Därför finns det behov av att följa upp de risker som är förenade med vaccinationer. Det finns även ett behov av att följa upp att vacciner har avsedd effekt och att man når uppsatt mål om täckningsgrad, dvs. den del av en definierad målgrupp som fått tillräckligt många vaccinationer för att den avsedda skyddseffekten skall uppnås. Tillgänglig och fullständig information om tidigare vaccination oavsett vårdgivare är viktigt för att uppnå hög säkerhet och för ett rationellt utnyttjande av resurser i vården. Under senare år har behovet av att den enskilde själv skall ha tillgång till uppgifter om vilka vaccinationer han eller hon fått ökat.
För att uppnå ett eller flera av dessa syften har särskilda vaccinationsregister upprättats i allt fler länder. Hur de olika vaccinationsregistren förhåller sig till varandra ur integritets- och forskningssynpunkt kan behöva beaktas av utredaren.
Läkemedelsverkets, Socialstyrelsens och Smittskyddsinstitutets promemoria
Regeringen har uppdragit åt Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen att tillsammans ta fram ett underlag om behovet av och förutsättningarna för att inrätta ett nationellt vaccinationsregister. Myndigheterna har redovisat uppdraget i promemorian Underlag om behovet av och förutsättningarna för att inrätta ett nationellt vaccinationsregister (S2005/2667/FH). Ett informationssystem för vaccinationer har utvecklats i projektform i samverkan mellan ovan nämnda myndigheter och företrädare för barnhälsovården. Det är ett webbaserat informationssystem för vaccinationer och det består av två komponenter, en vårddatabas som innehåller ett stort antal separata vårdregister, och en analysdatabas. Analysdatabasen skapas genom att förutbestämda uppgifter förs över till
den från vårdregistren. Ändamålen med analysdatabasen är uppföljning på nationell nivå, epidemiologiska studier och forskning. Tanken bakom konstruktionen med en vårddatabas och en analysdatabas har varit att det skall vara möjligt att behandla uppgifter i registren i vårddatabasen med stöd av lagen (1998:544) om vårdregister och att det register som finns i analysdatabasen skall bli ett hälsodataregister i enlighet med lagen (1998:543) om hälsodataregister.
Behovet av utredning
Den enskilde bör på ett enkelt sätt kunna få information om vilka vaccinationer som han eller hon har fått och när dessa gavs. Det är även angeläget att de risker som är förenade med vaccinationer analyseras samt att låta undersöka om de vacciner som ges har avsedd effekt. Det är också av vikt att ändamålsenlig forskning kan bedrivas på området. För detta behövs ett rikstäckande register över vilka vaccinationer som ges samt uppgifter om biverkningar m.m.
Frågan om registrering av personuppgifter inom vården innefattar svåra avvägningar mellan skyddet för den personliga integriteten och viktiga samhällsintressen. Den enskilde bör tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter samt ha rätt och möjlighet att själv bestämma i vilka sammanhang uppgifter om honom eller henne får utnyttjas och i så fall hur. Skyddet för den enskildes integritet är dock inte absolut, utan den enskilde måste acceptera ett visst mått av intrång till förmån för viktiga allmänna intressen.
Eftersom ett nationellt vaccinationsregister bedöms kunna innehålla känsliga personuppgifter och också skulle kunna sambearbetas med andra register, anser regeringen att det är viktigt att de författningsmässiga förutsättningarna för att inrätta ett nationellt vaccinationsregister utreds.
Uppdraget
Den särskilda utredaren skall utarbeta förslag till författningsreglering av det nationella register för vaccinationer som i dag förs i projektform av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen. Registret planeras av dessa myndigheter bestå av dels en vårddatabas, dels en analysdatabas.
Frågan om författningsreglering av den del som utgör vårddatabasen omfattas av utredarens nuvarande uppdrag enligt tidigare beslutade tilläggsdirektiv till utredningen (dir. 2004:95).
I den del av uppdraget som avser analysdatabasen, skall utredarens utgångspunkt vara att den kan regleras som ett hälsodataregister. Innebär det att ändringar i lagen (1998:543) om hälsodataregister behövs, skall utredaren lämna förslag till sådana ändringar. Om utredaren finner att starka skäl talar emot att registret regleras som ett hälsodataregister, skall utredaren redovisa skälen för detta samt utarbeta ett förslag till annan reglering. Utredaren skall analysera och lämna förslag till vilka uppgifter som skall få registreras, för vilka ändamål uppgifterna får behandlas, vad som skall gälla för bevarande och gallring samt vem som skall ha åtkomst till uppgifterna. Utredaren skall vidare analysera i vilken utsträckning information skall få föras över mellan vårddatabasen och analysdatabasen och andra personuppgiftsregister. Utredaren skall också analysera de sekretessfrågor som uppstår med anledning av förslaget till reglering. En utvärdering skall göras av huruvida rapporteringen av uppgifter till analysdatabasen skall vara obligatorisk för vårdgivaren och bygga på samtycke från patientens sida. Vidare skall utredaren göra en bedömning av om syftet med analysdatabasen, dvs. uppföljning på nationell nivå, epidemiologiska studier och forskning, kan uppfyllas om endast avidentifierade personuppgifter rapporteras till databasen.
Utredaren bör utgå från att Smittskyddsinstitutet är den myndighet som skall få i uppdrag att ansvara för ett nationellt register för vaccinationer.
Hälso- och sjukvård utförs i dag även av andra än landstingen, bl.a. av privata aktörer. En del av dem är företag som också kan beröras av utredarens uppdrag. För dessa aktörer är det särskilt viktigt att de administrativa konsekvenserna av en författningsreglering inte går utöver de intressen regleringen avser att skydda. Detta är en omständighet som utredaren skall beakta i en särskild analys av konsekvenserna av de föreslagna reglernas effekter för små företags villkor.
I den mån utländska aktörer kan komma att erbjuda hälso- och sjukvårdstjänster som omfattas av uppgiftsskyldigheten, skall utredaren beakta relevanta regelverk inom EU.
Förslagets konsekvenser skall redovisas enligt vad som anges i 14 och 15 §§kommittéförordningen (1998:1474). Om utredningens förslag påverkar kostnaderna eller intäkterna för staten, kommuner,
landsting eller enskilda, skall en beräkning av dessa kostnader redovisas. Vid kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall utredaren föreslå en finansiering.
Utredaren skall i sitt arbete samråda med Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen samt med företrädare för andra berörda myndigheter, organisationer och näringslivet.
Utredaren skall även beakta resultatet av det arbete som utförts av Nationella ledningsgruppen för IT i vård och omsorg.
Utredaren skall, när det gäller förslagens konsekvenser för små företag, samråda med Näringslivets nämnd för regelgranskning (NNR).
Förlängd tid för uppdraget
Med stöd av regeringens bemyndigande den 3 april 2003 (dir. 2003:42) tillkallade chefen för Socialdepartementet en särskild utredare med uppdrag att reglera de nationella kvalitetsregister som finns inom hälso- och sjukvården. Utredningen, som antog namnet Kvalitetsregisterutredningen, skulle enligt direktiven redovisa resultatet av arbetet senast den 30 juni 2004.
Regeringen beslutade den 23 juni 2004 genom ett tilläggsdirektiv (dir. 2004:95) att utvidga utredningens uppdrag till att även avse en översikt av hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt att lämna förslag till en väl fungerande och sammanhängande reglering av området. Utredningen, som ändrade namnet till Patientdatautredningen, skulle enligt direktiven redovisa resultatet av arbetet senast den 31 december 2005.
Tiden för utredningen förlängs. Utredningen skall senast den 1 oktober 2006 redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med anledning av dessa uppgifter. Utredningen skall redovisa resultatet av sitt arbete i övriga delar, däribland det uppdrag som anges i detta direktiv, senast den 31 december 2006.
(Socialdepartementet)
Sammanfattning av vår attitydundersökning
På uppdrag av oss genomförde Statistiska centralbyrån under tiden augusti – november 2005 en enkätundersökning. Syftet med undersökningen var att få fram allmänhetens inställning till skapandet av en enda elektronisk journal för varje patient och till andra frågor som rör patientjournaler. Undersökningen genomfördes som en postenkät. Ett urval omfattande 3 600 personer i åldern 20–79 år drogs från Registret över totalbefolkningen med hjälp av statistiska metoder. Totalt var det 2 356 personer som besvarade frågeblanketten, vilket är 65,3 procent av urvalet. Resultatet av undersökningen har räknats upp till populationsnivå, vilket innebär att redovisat resultat avser hela populationen – i vårt fall samtliga personer i åldern 20– 79 år som är folkbokförda i Sverige – och inte bara för de svarande.
Undersökningen visar att 79 procent är positiva till att det skapas en enda elektronisk journal för varje patient. Av dessa ser 51 procent inga nackdelar med en sådan journal, medan 28 procent känner viss oro för att obehörig vårdpersonal skulle kunna få tillgång till deras journaluppgifter. De anser dock att denna risk uppvägs av fördelen att vårdpersonalen snabbt kan få fram nödvändiga uppgifter om dem när de söker vård.
När det gäller vilket inflytande en patient skall ha när vårdpersonalen vill läsa patientens journal anser 33 procent att patienten måste ha lämnat sitt samtycke för att vårdpersonalen skall få läsa uppgifter som patienten har spärrat, men inte i övrigt. Andelen som anser att patienten alltid måste ha lämnat sitt samtycke för att vårdpersonalen skall få läsa journalen, utom i akutsituationer, uppgår till 31 procent. Vidare anser 19 procent att det måste finnas samtycke från patienten för att personalen vid den klinik där patienten vårdas skall få ta del av särskilt känsliga journaluppgifter från en annan klinik, t.ex. en psykiatrisk klinik. Andelen som anser att patienten inte skall ha något inflytande över vem som får läsa journalen uppgår till 11 procent.
Undersökningen visar vidare att 71 procent vill kunna ta del av hela eller delar av sin egen patientjournal via Internet.
När det gäller huruvida uppgifter i patientjournaler skall få användas som underlag för hälso- och sjukvårdens egna ekonomiska uppföljning av sin verksamhet visar undersökningen att 37 procent är negativa till detta och att 27 procent ställer sig tveksamma till det. Andelen som är positiva uppgår till 28 procent och andelen som inte har någon åsikt i frågan till 8 procent. När det på motsvarande sätt gäller att använda journaluppgifter som underlag för att medicinskt följa upp och förbättra kvaliteten i hälso- och sjukvården visar undersökningen att 69 procent är positiva till detta. Andelen som är negativa eller tveksamma uppgår här till 11 respektive 16 procent och andelen som inte har någon åsikt i frågan till 5 procent. Samtidigt visar undersökningen att 31 procent anser att patienten själv skall få bestämma om uppgifter ur patientjournaler skall få användas och 49 procent att patienten skall kunna få motsätta sig att journaluppgifter används för ekonomisk och medicinsk uppföljning.
Undersökningen visar också att 63 procent är positiva till att uppgifter i patientjournaler används som underlag för forskning. Andelen som är negativa eller tveksamma uppgår här till 13 respektive 19 procent. Här anser 28 procent att patienten själv skall få bestämma om journaluppgifter skall få användas och 47 procent att patienten skall kunna få motsätta sig att journaluppgifter används för forskning som har godkänts av en etikprövningsnämnd.
I fråga om användningen av journaluppgifter som underlag för utbildning inom hälso- och sjukvården visar undersökningen att 45 procent är positiva till detta. Andelen som är negativa eller tveksamma uppgår här till 23 respektive 26 procent.
Lathund
Hur patientuppgifter får göras tillgängliga vid sammanhållen journalföring (s.j.) m.m.
I Skede 1
Patienten motsätter sig inte s.j. Patienten motsätter sig s.j.
Uppgifterna får göras tekniskt tillgängliga för andra vårdgivare (ospärrade uppgifter). Andra vårdgivare kan få del av uppgifterna, om villkoren under II är uppfyllda.
Uppgifterna får inte göras tekniskt tillgängliga för andra vårdgivare (spärrade uppgifter). De blir därmed tillgängliga endast hos den vårdgivare där uppgifterna har inhämtats.
Patienten kan när som helst begära att uppgifterna spärras.
Patienten kan när som helst begära att spärren hävs.
II Skede 2
Ospärrade uppgifter Spärrade uppgifter Huvudregel Huvudregel
Annan vårdgivare får i vårdsyfte
TPF
1
FPT
ta
del av uppgifterna, om patienten samtycker till det, om uppgifterna kan antas ha betydelse för vården av patienten och om det finns en patientrelation mellan vårdgivaren och patienten.
Annan vårdgivare kan inte ta del av uppgifterna; dock framgår det att det finns spärrade uppgifter.
Undantag Undantag
Annan vårdgivare får i vårdsyfte
P
P
ta
del av uppgifterna, om spärren på begäran av patienten hävs och villkoren enligt huvudregeln för ospärrade uppgifter är uppfyllda
Annan vårdgivare får ta del av uppgifterna om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.
1
Här bortses från intygsutfärdande
III Undantag från sekretessen som möjliggör s.j.
Enligt 7 kap. 1 d § första stycket SekrL utgör hälso- och sjukvårdssekretessen inget hinder mot att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen.
Undantaget i SekrL kan analogt tillämpas inom den privata hälso- och sjukvården, se 2 kap. 8 § LYHS.
Undantaget innebär att någon sekretessprövning inte behöver göras då en uppgift görs tillgänglig för andra vårdgivare i ett system för sammanhållen journalföring.
IV Övrigt utlämnande av journaluppgifter
Innan uppgifter på annat sätt än genom sammanhållen journalföring lämnas över sekretessgränser, skall alltid en sekretessprövning göras.
V Inre spärr inom en vårdgivares verksamhet
Innebär att patienten kan spärra sina journaluppgifter m.m. för elektronisk åtkomst hos andra vårdenheter eller vårdprocesser; dock framgår det att det finns spärrade uppgifter och vilken vårdenhet eller vårdprocess som spärrat uppgifterna. Spärren kan på begäran av patienten hävas och den kan forceras om patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.