SOU 2012:42

Bättre behörighetskontroll - Ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal

Till statsrådet och chefen för Socialdepartementet Göran Hägglund

Vid regeringssammanträde den 15 december 2011 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Uppdraget ska redovisas senast den 1 december 2013. Utredaren fick även ett deluppdrag bestående i att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSPregistret).

Till särskilt utredare förordnades hälso- och sjukvårdsdirektören Lena Lundgren.

Genom beslut i tilläggsdirektiv vid regeringssammanträde den 29 mars 2012 beslutade regeringen att deluppdraget angående HOSP-registret ska redovisas senast den 31 maj 2012. Deluppdraget redovisas i föreliggande delbetänkande.

Att som sakkunniga bistå utredningen förordnades den 12 mars 2012 kanslirådet Rickard Broddvall, rättssakkunnige Maria Arnell, analyschefen Anders Ekholm, ämnesrådet Gert Knutsson, kanslirådet Jimmy Järvenpää och departementssekreteraren Maria Wästfelt. Att som experter bistå utredningen förordnades samma dag medicinskt ansvariga sjuksköterskan Eva Backlund, biträdande landstingsdirektören och utvecklingschefen Mats Brännström, juristen Febe Westberg, verksamhetschefen Mats Brådman, handläggaren Annica Blomsten, överläkaren Mikael Rolfs, tillsynschefen Erik Janzon, verksjuristen Tora Nissen och socialdirektören Karl Gudmundsson.

Som huvudsekreterare i utredningen anställdes fr.o.m. den 6 februari 2012 juristen Patrik Sundström. Som sekreterare i utredningen anställdes fr.o.m. den 13 februari 2012 juristen Maria

Jacobsson. Som sekreterare på halvtid i utredningen anställdes fr.o.m. 1 april 2012 rådmannen Eva Karlsson Helghe och fr.o.m. 23 april 2012 läkaren Inger Nordin Olsson. Det är de två förstnämnda som har arbetat med detta delbetänkande.

Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg.

Utredningen får härmed överlämna delbetänkandet Bättre behörighetskontroll (SOU 2012:42).

Stockholm den 31 maj 2012

Lena Lundgren

/Maria Jacobsson Patrik Sundström

Sammanfattning

Inledning

Legitimation för yrke inom hälso- och sjukvården är förbehållen sådana yrkesgrupper som har kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Socialstyrelsen är ansvarig för ett register (HOSP-registret) över dessa yrkesutövare.

Efterfrågan till uppgifter ur registret kommer från flera olika intressenter. Det grundläggande syftet med att hämta in uppgifter om hälso- och sjukvårdspersonalens behörighet är gemensamt; att på olika sätt trygga patientens säkerhet.

Uppgifterna i registret används regelbundet bl.a. av vårdgivare för att kontrollera yrkesutövares behörighet i samband med tjänstetillsättning eller för att säkerställa att behörigheter till elektronisk åtkomst till patientinformation ges till rätt personer i rätt omfattning och vid rätt tidpunkt. Varje dag sker även stora utlämnanden till Apotekens Service AB, bl.a. för att bolaget alltid ska ha helt aktuella uppgifter över behöriga förskrivare av läkemedel. Det är en förutsättning för att Apotekens Service AB ska kunna möjliggöra för öppenvårdsapoteken att kontrollera om recept är utfärdade av behöriga förskrivare. För att försäkra sig om att synintyg är utfärdade av behörig yrkesutövare använder även Transportstyrelsen regelbundet uppgifter om legitimerad hälso- och sjukvårdspersonal. Även allmänheten vänder sig dagligen till Socialstyrelsen för att ta reda på om enskilda yrkesutövare är legitimerade eller vilken specialitet yrkesutövaren har m.m. Socialstyrelsen lämnar också ut uppgifter om enskilda yrkesutövares behörighet till utländska vårdgivare och tillsynsmyndigheter.

Nuvarande reglering i förordningen (2006:196) om register över hälso- och sjukvårdspersonal ger Socialstyrelsen möjligheter att lämna ut efterfrågade uppgifter antingen manuellt eller på medium

för automatiserad behandling, t.ex. via CD-skiva eller filöverföring. Förordningen medger emellertid inte att uppgifter publiceras på internet eller att vissa aktörer ges möjlighet att själv ta del av uppgifter genom s.k. direktåtkomst.

Våra förslag innebär att Socialstyrelsen får möjligheter att göra information om de legitimerade i registret mer tillgänglig än vad som är fallet i dag. Av hänsyn till de registrerades behov av skydd för den personliga integriteten vore det emellertid olämpligt att göra det fullständiga registerinnehållet helt publikt genom t.ex. publicering på internet. Förslagen är därför anpassade efter olika aktörers behov av information och även i övrigt utformade på ett sådant sätt att de registrerades personliga integritet inte kränks.

Förslag till direktåtkomst för allmänheten

Vi anser att det ska vara lätt för patienter och närstående att ta reda på om den yrkesutövare som de möter i vården har rätt formell kompetens för sitt arbete, d.v.s. är legitimerad. Detta ligger i linje med den förstärkning av individens delaktighet och inflytande i sin hälsosituation som eftersträvas. Information är av avgörande betydelse för patientens möjlighet att utöva sitt självbestämmande och vara delaktig i vården. Såväl reglerna om krav på viss behörighet för hälso- och sjukvårdspersonal som möjligheten att återkalla denna har tillkommit till skydd för patienten.

Efter att ha vägt nyttan av att göra uppgifterna mer tillgängliga mot den risk för intrång i den personliga integriteten som en ökad tillgänglighet innebär för de registrerade föreslår vi att Socialstyrelsen ska få erbjuda allmänheten direktåtkomst till ett begränsat antal uppgifter i registret. Socialstyrelsen får göra uppgifter om namn, födelseår, yrke, specialitet samt datum för utfärdande av legitimation respektive bevis om specialistkompetens tillgängliga genom till exempel internetpublicering. Vårt förslag innebär dock att ett sådant publikt register inte får innehålla uppgifter om registrerade yrkesutövare som är föremål för beslut om prövotid, begränsad eller indragen förskrivningsrätt eller återkallad legitimation. Samtliga som innehar en legitimation kommer därmed inte att återfinnas i det publika registret. Uppgifter om sådana yrkesutövare finns förstås kvar i registret och kan precis som i dag begäras ut hos Socialstyrelsen, som kan göra ett utlämnande.

Förslaget innebär att uppgifterna i HOSP-registret blir tillgängliga på liknande sätt som i de övriga nordiska länderna och att den som söker information får reda på att yrkesutövaren är legitimerad och inte föremål för behörighetsinskränkning eller prövotid. Utländska aktörer får därmed möjlighet att själv kontrollera identitet och behörighet på i stort sett samtliga registrerade yrkesutövare.

Förslag till direktåtkomst för vårdgivare

Vårdgivaren har ansvaret för att det finns rätt kompetens i verksamheten. Det är nödvändigt att arbetsgivare (vårdgivare) lätt kan kontrollera yrkesutövarens kompetens och behörighet; både i samband med rekrytering och under löpande anställning för att kunna säkerställa att den anställde är behörig att utöva sina arbetsuppgifter och ta del av integritetskänsliga patientuppgifter.

Vi föreslår därför att Socialstyrelsen ska få erbjuda vårdgivare direktåtkomst till i princip samtliga uppgifter i registret. Förslaget ger vårdgivare möjlighet att själva direkt mot registret kontrollera enskilda yrkesutövares behörighet, men även att på en mer infrastrukturell systemnivå kontinuerligt uppdatera personalens uppgifter och status i HSA-katalogen. Katalogtjänsten HSA innehåller kvalitetssäkrade uppgifter om enheter, funktioner och personer i Sveriges kommuner och landsting samt hos privata vårdgivare. Förslaget öppnar upp för olika typer av direktåtkomst. Vårdgivare kan exempelvis erbjudas åtkomst för att direkt ta del av enstaka uppgifter i registret eller erbjudas åtkomst som ger vårdgivare möjlighet att skapa en systemlösning som gör att uppgifterna i HSA-katalogen hålls uppdaterade, t.ex. genom Inera AB:s försorg.

Förslag till direktåtkomst för Apotekens Service AB

För att få expediera ett läkemedelsrecept måste expedierande personal på apoteken veta om det är en behörig förskrivare som utfärdat receptet. Det är viktigt både för patientsäkerheten och för polisiära och samhällsekonomiska aspekter att enbart korrekt förskrivna läkemedel expedieras. För detta syfte lämnar Socialstyrelsen i dag regelbundet ut uppgifter ur HOSP-registret till Apotekens Service AB.

För att stärka patientsäkerheten, möjliggöra ett säkrare utlämnande och även höja kvaliteten på uppgifterna som hanteras föreslår vi att även Apotekens Service AB får ha tillgång till vissa uppgifter ur HOSP-registret genom direktåtkomst. Eftersom det redan i dag sker en väldigt omfattande manuell hantering och utlämnande på medium för automatiserad behandling bedömer vi att förslaget inte innebär ökade risker för intrång i de registrerades personliga integritet. Om den manuella hanteringen och ADButlämnandet minskar kan det snarare leda till en ännu säkrare hantering av uppgifterna, som även gagnar de registrerades behov av integritetsskydd.

Förslag till direktåtkomst för Transportstyrelsen

Befogenheten att utfärda olika intyg och utlåtanden är exempel på en sådan befogenhet som kan vara knuten till legitimationen att utöva ett yrke inom hälso- och sjukvården.

Socialstyrelsen lämnar regelbundet ut uppgifter till Transportstyrelsen i syfte att kontrollera att den som utfärdat ett synintyg för körkort är legitimerad optiker. Enligt Transportstyrelsen hanteras omkring 270 000 synintyg per år.

För att möjliggöra ett säkrare utlämnande och även höja kvaliteten på uppgifterna som ligger till grund för behörighetskontroll av intyg föreslår vi att Transportstyrelsen får ha direktåtkomst till vissa uppgifter ur HOSP-registret för att göra denna kontroll. För Transportsstyrelsens del innebär det att direktåtkomst endast kan komma ifråga för de legitimerade yrkesgrupper som utfärdar de intyg myndigheten har till uppgift att hantera.

Ikraftträdande

De ändringar av offentlighets- och sekretesslagen (2009:400), offentlighets- och sekretessförordningen (2009:641) och förordningen (2006:196) om register över hälso- och sjukvårdspersonal som vi föreslår ska träda ikraft den 1 januari 2013.

Författningsförslag

1. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

att det i lagen ska införas en ny paragraf, 22 kap. 3 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 b §

Sekretessen enligt 1 § 1 hindrar inte att uppgifter om enskilda lämnas ut genom direktåtkomst enligt vad som föreskrivs i 6 b – d §§ förordningen ( 2006:196 ) om register över hälso- och sjukvårdspersonal.

Denna lag träder i kraft den 1 januari 2013.

2. Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs i fråga om offentlighets- och sekretessförordningen (2009:641)

att det i förordningen införs en ny paragraf, 6 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 a §

Sekretessen enligt 6 § 1 gäller inte för följande uppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal:

1. namn,

2. födelseår,

3. yrke,

4. specialitet, och

5. datum för utfärdande av legitimation respektive bevis om specialistkompetens.

Denna förordning träder i kraft den 1 januari 2013.

3. Förslag till förordning om ändring i förordningen (2006:196) om register över hälso- och sjukvårdspersonal

Härigenom föreskrivs i fråga om förordningen (2006:196) om register över hälso- och sjukvårdspersonal

dels att 5 och 6 §§ ska ha följande lydelse,

dels att det i förordningen ska införas sju nya paragrafer, 3 a § och 6 a – f §§ samt närmast före 6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 a §

Socialstyrelsen är personuppgiftsansvarig för behandling av personuppgifter i registret.

Den som bereder sig tillgång till uppgifter i registret genom direktåtkomst enligt 6 a – d §§ är personuppgiftsansvarig för den egna behandlingen av dessa personuppgifter.

5 §

Personuppgifterna i registret får, utöver det som anges i 4 §, behandlas endast för att

1. utöva tillsyn av hälso- och sjukvården och dess personal,

1. kontrollera legitimerad hälso- och sjukvårdspersonals identitet och behörighet under anställning, i samband med tjänstetillsättning samt vid intygsutfärdande,

2. lämna uppgifter till receptregistret enligt lagen (1996:1156) om receptregister,

2. utöva tillsyn av hälso- och sjukvården och dess personal,

3. lämna uppgifter till myndigheter och enskilda i enlighet med det som föreskrivs i annan författning eller avtal,

3. lämna uppgifter till receptregistret enligt lagen (1996:1156) om receptregister,

4. lämna uppgifter till

Apotekens Service Aktiebolag för kontroll av identitet och behörighet av förskrivare av läkemedel, samt legitimerade sjuksköterskor utan behörighet att förskriva läkemedel, i samband med bolagets behandling av personuppgifter enligt lagen (2005:258) om läkemedelsförteckning,

4. lämna uppgifter till myndigheter och enskilda i enlighet med det som föreskrivs i annan författning eller avtal,

5. lämna uppgifter till

Apotekens Service Aktiebolag för kontroll av förskrivares identitet och behörighet vid expedition på öppenvårdsapotek av läkemedel och andra varor som förskrivits, och

5. lämna uppgifter till

Apotekens Service Aktiebolag för kontroll av identitet och behörighet av förskrivare av läkemedel, samt legitimerade sjuksköterskor utan behörighet att förskriva läkemedel, i samband med bolagets behandling av personuppgifter enligt lagen (2005:258) om läkemedelsförteckning,

6. kontrollera identitet och behörighet i samband med tjänstetillsättning av legitimerad hälso- och sjukvårdspersonal.

6. lämna uppgifter till

Apotekens Service Aktiebolag för kontroll av förskrivares identitet och behörighet vid expedition på öppenvårdsapotek av läkemedel och andra varor som förskrivits, och

7. informera allmänheten om legitimerad hälso- och sjukvårdspersonals identitet och behörighet.

6 §

Registret får innehålla endast följande uppgifter:

1. namn, personnummer och kön,

1. namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar och kön,

1. folkbokföringsort,

2. yrke,

3. grundyrke, läroanstalt, utbildningsland och datum för utfärdande av examen,

4. specialitet,

5. datum för utfärdande av legitimation respektive bevis om

6. specialistkompetens,

7. beslut om prövotid och återkallelse av legitimation,

8. förskrivarkod och beslut om begränsning eller indragning av förskrivningsrätt, samt

9. sådana tekniska och administrativa uppgifter som är nödvändiga för att registerändamålen skall kunna tillgodoses.

9. sådana tekniska och administrativa uppgifter som är nödvändiga för att registerändamålen ska kunna tillgodoses.

Direktåtkomst

6 a §

Socialstyrelsen får till allmänheten lämna ut följande personuppgifter genom direktåtkomst:

1. namn,

2. födelseår,

3. yrke,

5. specialitet, och

6. datum för utfärdande av legitimation respektive bevis om specialistkompetens.

Socialstyrelsen får dock inte lämna ut uppgifter genom direktåtkomst om registrerad yrkesutövare som har sin förskrivningsrätt begränsad eller indragen eller som har sin legitimation återkallad. Socialstyrelsen får inte

heller genom direktåtkomst lämna ut uppgifter om registrerad som är föremål för beslut om prövotid.

6 b §

Socialstyrelsen får, för de ändamål som anges 5 § 1, till vårdgivare lämna ut följande personuppgifter genom direktåtkomst:

1. namn, personnummer, samordningsnummer eller annan identitetsbeteckning och kön,

2. folkbokföringsort,

3. yrke,

4. specialitet,

5. datum för utfärdande av legitimation respektive bevis om specialistkompetens,

6. förskrivarkod,

7. uppgift om beslut om prövotid,

8. uppgift om beslut om begränsning eller indragning av förskrivningsrätt, och

9. uppgift om beslut om återkallelse av legitimation.

6 c §

Socialstyrelsen får, för de ändamål som anges 5 § 3, 5 eller 6, till Apotekens Service Aktiebolag lämna ut följande personuppgifter genom direktåtkomst:

1. namn, personnummer, samordningsnummer eller annan identitetsbeteckning och kön,

2. folkbokföringsort,

3. yrke,

4. specialitet,

5. datum för utfärdande av

legitimation respektive bevis om specialistkompetens,

6. förskrivarkod,

7. uppgift om beslut om begränsning eller indragning av förskrivningsrätt, och

8. uppgift om beslut om återkallelse av legitimation.

6 d §

Socialstyrelsen får, för de ändamål som anges i 5 § 1 avseende legitimerade yrkesutövare som utfärdar synintyg, till Transportstyrelsen lämna ut följande personuppgifter genom direktåtkomst:

1. namn, personnummer, samordningsnummer eller annan identitetsbeteckning och kön,

2. folkbokföringsort,

3. yrke,

4. specialitet, och

5. uppgift om beslut om återkallelse av legitimation.

6 e §

En personuppgiftsansvarig som medgetts direktåtkomst enligt 6 b – d §§ ansvarar för att behörigheten vid direktåtkomst begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter.

6 f §

Vid utlämnade av uppgifter genom direktåtkomst enligt 6 a § får som sökbegrepp enbart användas den registrerades

1. namn, personnummer, sam-

ordningsnummer eller annan identitetsbeteckning,

2. yrke, eller

3. specialitet. För att ett utlämnande enligt första stycket ska vara tillåtet måste antingen namn, personnummer, samordningsnummer eller någon annan identitetsbeteckning ha angivits vid sökningen.

Denna förordning träder i kraft den 1 januari 2013.

1. Ansvaret för en god och säker vård

Inom hälso- och sjukvården ansvarar såväl vårdgivare som hälso- och sjukvårdspersonal för att erbjuda patienten en god och säker vård. Även patienten kan genom att vara delaktig i den egna vården göra vården säkrare.

Samhällets krav på hälso- och sjukvården regleras i hälso- och sjukvårdslagstiftningen och bevakas genom tillsyn över verksamheter och hälso- och sjukvårdspersonal. I lagstiftningen finns bestämmelser om ansvarsfördelning, krav på vårdens utförande och regler om vilken behörighet som krävs m.m.

1.1. Vårdgivarens ansvar

Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Vårdgivare definieras bl.a. i 1 kap. 3 § patientsäkerhetslagen (2010:659), förkortad PSL.

Målet för hälso- och sjukvården är enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, en god hälsa och en vård på lika villkor för hela befolkningen (2 §). Lagen reglerar bl.a. vårdgivarens ansvar för att erbjuda patienterna en god och säker vård. Där det bedrivs hälso- och sjukvård ska det till exempel finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges (2 e § HSL). Motsvarande målsättning och kvalitetskrav finns i tandvårdslagen (1985:125).

Vårdgivaren ska enligt 3 kap. 1 § PSL planera, leda och kontrollera verksamheten på ett sätt som leder till att kravet på god vård i HSL respektive tandvårdslagen upprätthålls. Det är alltså vårdgivaren som har det yttersta ansvaret för verksamheten. Detta ansvar

inskränks inte av hälso- och sjukvårdspersonalens personliga yrkesansvar (6 kap. 2 § PSL). Vårdgivarens yttersta ansvar innebär istället ett ansvar för att hälso- och sjukvårdspersonalen har rätt behörighet och kompetens för sina arbetsuppgifter1. PSL är tillämplig även för tandvården.

1.1.1. Vårdgivarregistret

Den som avser att bedriva verksamhet som står under Socialstyrelsens tillsyn ska anmäla detta till myndigheten (2 kap. 1 § PSL). Syftet med anmälan är att Socialstyrelsen ska få kännedom om all verksamhet på hälso- och sjukvårdsområdet som ett underlag för det löpande tillsynsarbetet. Socialstyrelsen ska föra ett register över de verksamheter som anmäls (2 kap. 4 § PSL). Vårdgivarregistret får användas för tillsyn, forskning, framställning av statistik och för placering av patienter. I patientsäkerhetsförordningen (2010:1369) finns bestämmelser om vilka uppgifter som får ingå i registret.

1.2. Hälso- och sjukvårdspersonalens ansvar

Med hälso- och sjukvårdspersonal avses enligt 1 kap. 4 § patientsäkerhetslagen (2010:659), förkortad PSL, den som har legitimation för yrke inom hälso- och sjukvården. Bestämmelsen reglerar också vilka andra som hör till hälso- och sjukvårdspersonalen och som därför omfattas av lagen.

Bestämmelser som innefattar skyldigheter för hälso- och sjukvårdspersonalen finns såväl i PSL som i andra lagar samt i förordningar och myndighetsföreskrifter. I 6 kap. PSL anges hälso- och sjukvårdspersonalens skyldigheter. Av grundläggande betydelse är bestämmelsen att hälso- och sjukvårdspersonalen ska utföra sitt arbete i enlighet med vetenskap och beprövad erfarenhet. Begreppet ”vetenskap och beprövad erfarenhet” är centralt i ansvarshänseende och ett agerande i strid med vetenskap och beprövad erfarenhet kan vara ansvarsgrundande enligt bestämmelser i 8 kap. Den som tillhör hälso- och sjukvårdspersonalen har ett eget ansvar för hur han eller hon fullgör sina arbetsuppgifter. Detta brukar kallas det personliga yrkesansvaret2.

1 Regeringens proposition Patientsäkerhet och tillsyn,prop. 2009/10:210 s. 206. 2 Regeringens proposition Åliggande för personal inom hälso- och sjukvården m.m.prop. 1993/94:149 s. 67.

1.2.1. Behörighetskrav på viss hälso- och sjukvårdspersonal

För att garantera en viss kunskapsnivå och sådana personliga egenskaper hos yrkesutövaren att denne är förtjänt av allmänhetens och myndigheternas förtroende har det sedan lång tid tillbaka funnits en särskild reglering i fråga om behörigheten att utöva yrken inom hälso- och sjukvården. Krav på legitimation för att få utöva sitt yrke gäller flera centrala yrkesgrupper inom hälso- och sjukvården och tandvården. Regleringen finns i 4 kap. PSL. Detaljerade föreskrifter finns vidare i patientsäkerhetsförordningen (2010:1369). Endast den som genomgått viss utbildning och som, i vissa fall, fullgjort praktisk tjänstgöring kan efter ansökan få legitimation för visst yrke. I 4 kap. finns förutom bestämmelser om legitimation också bestämmelser om ensamrätt till yrke, skyddad yrkestitel, kompetens som europaläkare och specialistkompetens.

Det viktigaste kompetensbeviset inom hälso- och sjukvården är legitimationen. Legitimationen är en personlig behörighet och ett uttryck för att den legitimerade står under samhällets tillsyn och har godkänts för yrkesverksamhet inom det område som legitimationen avser. För närvarande finns det 21 yrkesgrupper som kan erhålla legitimation. Dessa är:

  • apotekare,
  • arbetsterapeut,
  • audionom,
  • barnmorska,
  • biomedicinsk analytiker,
  • dietist,
  • kiropraktor,
  • logoped,
  • läkare,
  • naprapat,
  • optiker,
  • ortopedingenjör,
  • psykolog,
  • psykoterapeut,
  • receptarie,
  • röntgensjuksköterska,
  • sjukgymnast,
  • sjukhusfysiker,
  • sjuksköterska,
  • tandhygienist, och
  • tandläkare.

Frågor om meddelande av legitimation m.m. prövas av Socialstyrelsen. Prövningen av en ansökan om legitimation avser dels om den sökande uppfyller de fastlagda kraven på utbildning och i förekommande fall fullgjord praktik för yrket i fråga, dels att förhållandena inte är sådana att legitimationen skulle ha återkallats enligt bestämmelserna i 8 kap. om sökanden hade varit legitimerad. Sådana omständigheter är t.ex. om den legitimerade varit grovt oskicklig vid utövning av sitt yrke, i eller utanför yrkesutövning gjort sig skyldig till ett allvarligt brott som är ägnat att påverka förtroendet för honom eller henne eller på annat sätt visat sig uppenbart olämplig att utöva yrket eller på grund av sjukdom eller någon liknande omständighet inte kan utöva yrket tillfredsställande. I övrigt gör Socialstyrelsen i princip ingen kvalitets- eller lämplighetsbedömning av en yrkesutövare i samband med att legitimation meddelas. Med erhållen legitimation och därav följande status som hälso- och sjukvårdspersonal följer vissa skyldigheter i yrkesutövningen enligt patientsäkerhetslagen men också enligt annan lagstiftning, t.ex. journalföringsplikt enligt patientdatalagen (2008:355). Legitimerade yrkesutövare är vidare, i den mån de anses bedriva hälso- och sjukvård, befriade från att betala mervärdesskatt (3 kap3 och 4 §§mervärdesskattelagen (1994:200). Det finns över 300 000 legitimerade yrkesutövare i Sverige.

Socialstyrelsen har ansvar för ett datoriserat register över legitimerad hälso- och sjukvårdspersonal i Sverige, det så kallade HOSP-registret.

1.3. Patientens delaktighet

Mötet mellan vårdare och patient är kärnan i hälso- och sjukvårdens verksamhet. Varje år görs över 27 miljoner läkarbesök samtidigt som besöken hos andra personalkategorier uppgår till omkring 36 miljoner. Det är i dessa möten som vårdens centrala uppdrag utförs. Det är i samspelet mellan patient och vårdpersonal som vårdbehov identifieras och beslut om diagnostik, behandling och rehabilitering fattas. Den samlade kunskapen visar att ett

patientcentrerat arbetssätt och en delaktig patient har en positiv inverkan på vårdens resultat. Det gäller bland annat följsamhet till vårdens rekommendationer, behandlingsresultat vid till exempel kroniska sjukdomar och patientens tillfredsställelse med vården. Hälso- och sjukvårdspersonalen ska med sin kunskap och tillämpad vetenskap förklara sjukdomen, behandlingen och vilka resultat som kan uppnås, men måste också förstå och se patientens kunskaper och möjligheterna till samarbete där var och en bidrar med sin kunskap3.

Varje individ är expert på upplevelsen av sin egen ohälsa och har den bästa kännedomen om sin egen kropp och sin egen situation. Men som patient är man beroende av andras kompetens, resurser och beslut för att kunna bli delaktig och utöva sitt självbestämmande. Vårdsituationen är i sig en ojämlik situation, där patienten har kunskap om sig själv och sina värderingar och där personalen har sin professionella kunskap och sina värderingar. Det är därför viktigt att genom individuellt anpassad information förmedla kunskap, förståelse och insikt om hälsotillstånd, diagnos och metoder för undersökning och behandling. Bemötande och kommunikation är en ledningsfråga och en del i kvalitets- och patientsäkerhetsarbetet och ska därmed säkerställas med hjälp av vårdgivarens ledningssystem. Informerade patienter som har kunskap om sin egen vård och behandling och ställer frågor till vårdpersonalen kan bidra till att göra vården säkrare4. En informerad patient är dessutom en förutsättning för en effektiv vård5.

Hälso- och sjukvårdspersonalens arbetsuppgifter är sådana att det av hänsyn till enskilda patienter är befogat att ställa särskilda krav på att de utförs med noggrannhet och omsorg. I många fall kan ett felaktigt handlande få fatala följder. Det ställs därför höga krav på hälso- och sjukvårdspersonalens kompetens och sätt att utföra sina uppgifter. Patienterna har rätt att förvänta sig en trygg och säker vård av god kvalitet. Legitimation för yrke inom hälso- och sjukvården är avsedd att vara en garanti inte endast för en viss kunskapsnivå, utan också i görligaste mån för sådana personliga egenskaper som gör att yrkesutövaren är förtjänt av allmänhetens tilltro.

3 Din skyldighet att informera och göra patienten delaktig – Handbok för vårdgivare, chefer och personal – Aktuell från 1 januari 2012 (Socialstyrelsen). 4 Min guide till en säkrare vård (Socialstyrelsen). 5 Regeringens proposition Stärkt patientinflytande, prop. 1998/99:4 s. 24.

Genom att yrkesutövaren måste uppfylla vissa kunskaps- och kvalitetskrav för att bli legitimerad utgör legitimationen ett skydd för patienterna. Detta skydd förstärkts genom de regler som innebär att den legitimerade kan fråntas sin legitimation, om han eller hon inte längre uppfyller kraven.

Ett sätt för en aktiv och delaktig patient att förvissa sig om att han eller hon söker hjälp hos en yrkesutövare med rätt kompetens och behörighet är att kontrollera om yrkesutövaren har legitimation för yrke inom hälso- och sjukvården, vilken specialitet som han eller hon har och om det finns några begränsningar i behörigheten att förskriva läkemedel.

2. Krav på särskild kompetens för säker vård

2.1. Syftet med krav på legitimation för vissa yrkesutövare inom hälso- och sjukvården

Behörighetslagstiftningens syfte är säkerställa målen för hälso- och sjukvården, det vill säga att upprätthålla en hög patientsäkerhet1.

De grundläggande principerna för behörighetsregleringen har behandlats i flera sammanhang2. I förarbetena till behörighetslagen3anfördes att legitimationens huvudfunktion är att vara en garanti för en viss kunskapsnivå och för sådana personliga egenskaper hos yrkesutövaren att denna är förtjänt av allmänhetens och myndigheternas förtroende. Det förhållandet att legitimationen kan dras in har i detta sammanhang central betydelse. Dessa regler ska ge allmänheten skydd mot yrkesutövare som inte längre utövar sitt yrke på ett godtagbart sätt eller som är olämplig för verksamheten på något annat sätt. Legitimationen ska fylla ett väsentligt informationsbehov, dels gentemot allmänheten som behöver en lättfattlig ”varudeklaration” av olika yrkesutövares kvalifikationer, dels gentemot olika myndigheter som måste kunna lita på yrkesutövarna t.ex. i fråga om recept och intyg och dels gentemot sjukvårdshuvudmännen för att undvika att personer anställs som visar sig vara uppenbart olämpliga för yrket. Legitimation bör enligt förarbetena förbehållas sådana yrkesgrupper som har en yrkesfunktion med kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Det förhållandet att en yrkesgrupp i inte

1 Regeringens proposition Yrkesverksamhet på hälso- och sjukvårdens område,prop. 1997/98:109 s. 74. 2 Se bl.a. prop. 1993/94:149, prop. 1997/98:109 och prop. 2009/10:210. 3 Regeringens proposition Om lag om behörighet att utöva yrke inom hälso- och sjukvården m.m.; 1983/84:179 s.12 f.

oväsentlig utsträckning vänder sig direkt till allmänheten, t.ex. i egenskap av fria yrkesutövare, borde tillmätas särskild betydelse.

Principerna behandlades även i förarbetena till den upphävda lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, förkortad LYHS4. I propositionen anger regeringen att behörighetsregleringen främst bör användas för att uppnå de samhälleliga målen om att hälso- och sjukvården ska vara av god kvalitet och tillgodose patientens behov av trygghet i vården och behandlingen, dvs. för att upprätthålla en hög patientsäkerhet. Regeringen anger också att en viktig och avgörande skillnad mellan examens- eller utbildningsbeviset och legitimationen är att legitimationen kan dras in om en yrkesutövare missköter sig i yrket eller drabbas av sjukdom som omöjliggör fullgod yrkesutövning samt på egen begäran. I sin yttersta konsekvens innebär en sådan indragning av legitimationen i praktiken ofta ett yrkesförbud, en i svensk rättstradition mycket ingripande sanktion. Regeringen anför också att legitimationen fyller ett viktigt informationsbehov för bl.a. allmänheten genom att samhället med legitimationen ger en form av garanti för att yrkesutövaren har en viss kunskapsnivå och vissa personliga egenskaper som gör honom eller henne lämplig att utöva yrket. Det gäller särskilt avseende yrkesgrupper som i inte obetydlig utsträckning är verksamma i privat regi.

I förarbetena till LYHS anger regeringen vidare att det grundläggande skälet till införandet av rättsliga regleringar av yrken inom hälso- och sjukvården är omsorgen om patienternas säkerhet i vården, patientsäkerheten. Varje förändring eller utvidgning av bestämmelserna måste därför ha patientens berättigade krav på säkerhet som ledstjärna. Det är således patientens välmotiverade krav på säkerhet i vården som enligt regeringen måste vara utslagsgivande när man bedömer behovet av lagstiftning för att reglera och begränsa rätten att utöva olika yrken inom hälso- och sjukvården, t.ex. genom särskilda legitimationsregler.

4Prop. 1997/98:109 s. 74 f.

2.2. Behörighet till vissa anställningar inom hälso- och sjukvården och tandvården

Förutom kravet på yrkeslegitimation för att få utöva vissa yrken inom hälso- och sjukvården och tandvården finns regler om behörigheter för vissa anställningar.

Förordningen (1998:1518) om behörighet till vissa anställningar inom hälso- och sjukvården m.m. innehåller bestämmelser om behörighet till vissa anställningar inom landstingens hälso- och sjukvård och om hur sådana anställningar ska ske. Regleringen avser även den hälso- och sjukvård som kommunerna bedriver. För anställning som läkare för allmäntjänstgöring krävs läkarexamen och för anställning som läkare för specialiseringstjänstgöring krävs legitimation som läkare. Annan anställning som läkare än för allmän- eller specialiseringstjänstgöring kräver specialistkompetens eller kompetens som allmänpraktiserande läkare (Europaläkare). Socialstyrelsen kan om särskilda skäl föreligger medge undantag från den bestämmelsen. Vid anställning av vikarie för läkare kan myndigheten medge att annan person anställs om denne i huvudsak bedöms kunna fullgöra uppgifterna. Behörig till anställning som barnmorska, psykolog, psykoterapeut, sjukgymnast, sjukhusfysiker eller sjuksköterska är den som har legitimation för yrket. En psykolog är behörig även då han eller hon genomgår föreskriven praktisk tjänstgöring som krävs för legitimation. Socialstyrelsen kan medge undantag vid anställning av vikarie. I förordningen finns bestämmelser om hur tjänster som läkare ska kungöras och tillsättas.

Förordningen (1998:1519) om behörighet till vissa anställningar inom folktandvården m.m. innehåller bestämmelser om behörighet till vissa anställningar inom folktandvården och om hur sådana anställningar ska ske. Behörig till anställning som tandläkare under specialiseringstjänstgöring är den som har legitimation som tandläkare och har utövat allmän tandläkarpraktik under minst två år. Det finns även bestämmelser om anställningstid för sådan tjänstgöring och om anställning av chef vid en enhet för specialisttandvård.

2.3. Behörighetens internationella utsträckning

Norden

Inom Norden gäller den nordiska överenskommelsen5 om en gemensam arbetsmarknad för viss hälso- och sjukvårdspersonal. Huvudregeln i överenskommelsen innebär att den som har legitimation eller auktorisation att utöva reglerat yrke i ett nordiskt land ska ha rätt att få behörighet även i annat nordiskt land. Överenskommelsen innebär att erkännande ska ske enbart på grundval av utbildning om yrket är reglerat i det mottagande landet men inte i utbildningslandet. Sverige upprätthåller dock inte kravet på medborgarskap. Det räcker att man har legitimation eller motsvarande behörighetsbevis för yrket från ett annat nordiskt land.

Europeiska unionen

Den gemensamma marknaden inom EU grundar sig på de fyra fria rörligheterna för personer, tjänster, varor och kapital. Dessa rättigheter regleras i EUF-fördraget. En förutsättning för att en gemensam arbetsmarknad ska kunna fungera är att medlemsstaterna ömsesidigt godkänner yrkesutbildningar och därtill knuten behörighet som erhållits i en annan medlemsstat. Reglering av erkännande av yrkeskvalifikationer i EU/EES finns i EG-direktiv 2005/36/EG. Sverige har genom medlemskapet i EU åtagit sig att tillämpa regler om ömsesidigt erkännande av kompetensbevis. Direktivet är införlivat i svensk rätt i 5 kap. patientsäkerhetsförordningen (2010:1369) och Socialstyrelsens föreskrifter (2007:23) om erkännande av yrkeskvalifikationer inom hälso- och sjukvården.

2.4. Socialstyrelsens tillsyn över legitimerade yrkesutövare

Socialstyrelsens tillsyn omfattar både verksamheter och hälso- och sjukvårdspersonal. Bestämmelser om Socialstyrelsens tillsyn finns samlade i 7 kap. patientsäkerhetslagen (2010:659), förkortad PSL.

5 SÖ 1994:2 Nr 2 Överenskommelse om nordisk arbetsmarknad för viss hälso- och sjukvårdspersonal och veterinärer.

Av 7 kap. 1 § PSL framgår att hälso- och sjukvården och dess personal står under tillsyn av Socialstyrelsen. För tillsyn över hälso- och sjukvård inom Försvarsmakten finns särskilda bestämmelser. Tillsynen omfattar både verksamhetstillsyn och individtillsyn. Vad som är att betrakta som hälso- och sjukvård framgår av definitionen i 1 kap. 2 § PSL samt i 1 § hälso- och sjukvårdslagen (1982:763), förkortad HSL. Tillsynen omfattar både sjukdomsförebyggande åtgärder och den direkt sjukvårdande verksamheten. Till hälso- och sjukvården räknas bl.a. även tandvården och viss annan verksamhet som definitionsmässigt inte är att betrakta som hälso- och sjukvård. Tillsynen ska främst inriktas på granskning av att vårdgivaren fullgör sina skyldigheter. Inom ramen för tillsynen ska Socialstyrelsen

  • lämna råd och ge vägledning,
  • kontrollera att brister och missförhållanden avhjälps,
  • förmedla kunskap och erfarenheter som erhålls genom tillsynen samt
  • informera och ge råd till allmänheten.

Vårdgivare ska under vissa förutsättningar anmäla brister i vården till Socialstyrelsen. Anmälningsskyldigheten brukar benämnas Lex Maria. Socialstyrelsen ska efter anmälan även pröva klagomål mot hälso- och sjukvården och dess personal och avgöra dessa genom beslut. Myndigheten får i beslut uttala sig om huruvida en åtgärd eller underlåtenhet av vårdgivare eller hälso- och sjukvårdspersonal strider mot lag eller annan föreskrift eller är olämplig med hänsyn till patientsäkerheten.

Socialstyrelsens tillsynsansvar omfattar dock även hälso- och sjukvårdspersonalens yrkesutövning (individtillsyn). Upptäcker Socialstyrelsen, när myndigheten t.ex. handlägger ett klagomål från en patient eller efter anmälan från vårdgivare, att en enskild yrkesutövare inte fullgör sina skyldigheter enligt PSL eller annan författning bör detta som huvudregel alltid föranleda någon form av reaktion från myndighetens sida. Socialstyrelsen bedömer vilka åtgärder som är nödvändiga i det enskilda fallet. Olika vägar står till buds beroende på om yrkesutövaren innehar legitimation för yrket eller inte. För både legitimerade och icke-legitimerade kan en åtgärd bestå dels av ett påpekande om att ett visst beteende eller ett visst handlande inte står i överensstämmelse med regelverket på området, dels av en kontakt med arbetsgivaren. En sådan kontakt

kan innebära att myndigheten för arbetsgivaren påpekar vikten av att en viss individ ges råd och stöd eller att rutiner ändras på ett sådant sätt att den enskilde får möjlighet att uppfylla de krav som ställs på honom eller henne när det gäller att ge patienterna en säker och trygg vård. Misstänker Socialstyrelsen att en yrkesutövare, oavsett om han eller hon är legitimerad eller inte, har begått ett brott i sin yrkesutövning för vilket fängelse är föreskrivet är myndigheten skyldig att anmäla yrkesutövaren till åtal. Socialstyrelsen ska göra en anmälan till Hälso- och sjukvårdens ansvarsnämnd (HSAN) om det finns skäl för prövotid, återkallelse av legitimation, återkallelse av annan behörighet att utöva yrke inom hälso- och sjukvården eller begränsning av förskrivningsrätten.

3. Socialstyrelsens register över hälso- och sjukvårdspersonal

3.1. HOSP-registret

Socialstyrelsen har ansvar för ett datoriserat register över legitimerad hälso- och sjukvårdspersonal i Sverige, det så kallade HOSP-registret. Registret innehåller uppgifter om över 300 000 yrkesutövare. Behandlingen av uppgifterna i registret regleras i förordningen (2006:196) om register över legitimerad hälso- och sjukvårdspersonal, som innehåller bestämmelser om vilka uppgifter registret får innehålla, utlämnande och information m.m. Registret förs utan samtycke från de registrerade. Personuppgifterna i registret hålls aktuella genom uppdateringar mot folkbokföringsregistret. I registret finns uppgifter om namn, personnummer, yrke, eventuell specialistutbildning samt datum då en legitimation eller specialistkompetens utfärdades. Registret kan även innehålla uppgifter om att en prövotid pågår, att en legitimation är återkallad eller att förskrivningsrätten är begränsad eller indragen.

Förordningen reglerar på vilket sätt uppgifterna i registret får användas. Personuppgifterna i registret får behandlas endast för att

  • utöva tillsyn av hälso- och sjukvården och dess personal,
  • lämna uppgifter till receptregistret enligt lagen (1996:1156) om receptregister,
  • lämna uppgifter till myndigheter och enskilda i enlighet med det som föreskrivs i annan författning eller avtal,
  • lämna uppgifter till Apotekens Service AB för kontroll av identitet och behörighet av förskrivare av läkemedel, samt legitimerade sjuksköterskor utan behörighet att förskriva läkemedel, i samband med bolagets behandling av personuppgifter enligt lagen (2005:258) om läkemedelsförteckning,
  • lämna uppgifter till Apotekens Service AB för kontroll av förskrivares identitet och behörighet vid expedition på öppenvårdsapotek av läkemedel och andra varor som förskrivits, och
  • kontrollera identitet och behörighet i samband med tjänstetillsättning av legitimerad hälso- och sjukvårdspersonal.

3.2. Tillgång till uppgifter ur registret

Varje dag besvarar Socialstyrelsens ett stort antal förfrågningar om uppgifter ur registret. För att få ut uppgifter ur registret måste man kontakta myndigheten. Uppgifter får lämnas ut på medium för automatiserad behandling under förutsättning att det inte finns något hinder med hänsyn till sekretess. Däremot finns det ingen bestämmelse i förordningen som tillåter att uppgifter ur registret lämnas ut genom direktåtkomst.

Myndigheten har uppgivit att den får ungefär 100 förfrågningar per dag. Varje förfrågan kan innehålla en begäran om uppgifter om en till 100 personer. Begäran om uppgifter ur registret görs med syfte att kontrollera enskilda yrkesutövares behörighet (legitimation och specialistkompetens), när den meddelades och om den är begränsad samt för att få uppgift om förskrivarkod. De största beställargrupperna är vårdgivare, rekryteringsföretag, apotek, patienter och journalister. Det största antalet förfrågningar tas emot per telefon och e-post, men även förfrågningar per fax och brev besvaras.

Förutom dessa utlämnanden som görs på enstaka förfrågningar görs större utlämnanden ur registret genom matchningar till bemanningsföretag och till Inera AB för uppdatering av HSAkatalogen. Inera AB ägs av alla landsting och regioner och har till uppdrag att vara utförare för ägarnas genomförande av Nationell eHälsa – strategin för tillgänglig och säker information inom vård och omsorg. En av tjänsterna som Inera AB förvaltar inom ramen för sitt uppdrag är HSA-katalogen, som innehåller kvalitetssäkrade uppgifter om enheter, funktioner och personer i Sveriges kommuner, landsting och privata vårdgivare. HSA-katalogen används exempelvis för att säkerställa att behörigheter till elektronisk åtkomst till patientuppgifter ges till rätt personer i rätt omfattning och vid rätt tidpunkt. Information i katalogtjänsten utgör därmed underlag och är en förutsättning för olika säkerhetslösningar, till

exempel användandet av tjänstelegitimationen SITHS, som möjliggör säker inloggning i olika IT-system. I dag hämtas uppgifter om legitimation, specialistkompetens och förskrivningsrätt från HOSP-registret till HSA-katalogen med hjälp av manuella rutiner.

HOSP-registret innehåller uppgifter som är nödvändiga att ha tillgång till vid den receptexpediering som sker på öppenvårdsapotek. Vid en sådan expediering måste alltid förskrivarens rätt att skriva ut det aktuella läkemedlet kontrolleras. Socialstyrelsen rapporterar därför dagligen in uppgifter från registret över hälso- och sjukvårdspersonal till Apotekens Service AB och till det receptregister som bolaget för med stöd av lagen (1996:1156) om receptregister. Även Transportstyrelsen, Försäkringskassan och Regeringskansliet får regelbundet utdrag ur registret. Mer uppgifter om användningen av registret finns i tabellen nedan.

3.3. Sekretessreglering för uppgifter i HOSP-registret

Offentlighetsprincipen innebär bland annat att var och en har rätt att ta del av uppgifter som finns i allmänna handlingar hos svenska myndigheter. Offentlighetsprincipen får bara inskränkas om det är påkallat av hänsyn till vissa särskilt angivna intressen, bl.a. skyddet för enskildas personliga förhållanden. Inskränkningar i offentlighetsprincipen ska noga anges i en särskild lag eller i annan lag till vilken den lagen hänvisar (2 kap. 2 § tryckfrihetsförordningen). Den särskilda lag som åsyftas är offentlighets- och sekretesslagen (2009:400), förkortad OSL.

Eftersom det finns vissa sekretessbestämmelser till skydd för uppgifterna i HOSP-registret kan en sekretessprövning i det enskilda fallet behöva göras innan uppgifter får lämnas ut ur registret. Bestämmelserna till skydd för uppgifterna finns bl.a. i 6 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, och innebär att sekretess gäller för uppgift om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Bestämmelsen är utformad med stöd av regleringen av den så kallade folkbokföringssekretessen i 22 kap. 1 § OSL.

Sekretesskyddet för uppgifterna är svagt och huvudregeln är att uppgifterna inte får hemlighållas. Vid ett rakt skaderekvisit, som i

de bestämmelser som gäller för HOSP-registret, är presumtionen att typiskt sett harmlösa uppgifter kan lämnas ut utan någon närmare skadebedömning i det enskilda fallet. En närmare skadebedömning behöver vid tillämpning av ett sådant skaderekvisit – beträffande normalt sett harmlösa uppgifter – bara göras om det finns särskild anledning till det.1 Utgångspunkten är nämligen att uppgiften är offentlig. Det innebär att Socialstyrelsen rutinmässigt lämnar ut stora mängder uppgifter ur registret i enlighet med begäran under förutsättning att det inte finns någon särskild information om sekretess i det enskilda fallet.

I vissa fall kan det dock skada en person att uppgifter om denne lämnas ut. Som exempel kan nämnas utlämnande av uppgifter som avslöjar var någon som är hotad eller förföljd bor eller tillfälligt uppehåller sig. HOSP-registret saknar visserligen uppgifter som direkt pekar ut var den registrerade bor eller uppehåller sig, t.ex. uppgift om bostadsadress eller hemtelefonnummer. Däremot innehåller registret uppgift om folkbokföringsort, vilket åtminstone kan ge en indikation om den registrerades hemvist. Det kan därför inte uteslutas att vissa uppgifter i registret kan bedömas vara sekretessbelagda i ett enskilt fall där den enskilde är hotad eller förföljd.

En anledning till att ändå göra en närmare skadebedömning kan därför vara om den enskilde efter beslut av Skatteverket har fått skyddade personuppgifter, exempelvis en sekretessmarkering i folkbokföringssystemet, och den informationen nått den utlämnande myndigheten. Om Skatteverket beslutat att införa en sekretessmarkering och lämnar sekretessmarkerade uppgifter rörande legitimerad hälso- och sjukvårdspersonal till Socialstyrelsen aviserar Skatteverket sekretessmarkeringen. En sådan markering innebär visserligen ingen absolut sekretess, men i vart fall att Socialstyrelsen inte bör lämna ut vissa uppgifter om den enskilde utan att en särskild sekretessprövning görs. Det är således Socialstyrelsen, som mottagande myndighet, som självständigt har att avgöra om sekretess föreligger för de markerade uppgifterna. Jämfört med Skatteverkets folkbokföringsregister innehåller HOSP-registret emellertid väldigt få uppgifter om den enskilde. De enda uppgifterna som finns såväl i folkbokföringsregistret som i HOSPregistret är namn, personnummer och folkbokföringsort. Utöver detta finns i folkbokföringsregistret exempelvis uppgift om hem-

1 Regeringens proposition med förslag till sekretesslag m.m, prop 1979/80:2 Del A s. 80 f.

adress, fastighetsbeteckning, lägenhetsnummer, civilstånd, familjeförhållanden, närmare uppgifter om födelseort m.fl.

Vidare finns i 21 kap. 3 § OSL en bestämmelse som syftar till att åstadkomma ett sekretesskydd för förföljda personers adressuppgifter m.m. hos samtliga myndigheter. Av bestämmelsen följer att sekretess gäller för enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor, den enskildes telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med den enskilde, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Sekretessen enligt bestämmelsen gäller således i första hand för sådana uppgifter som kan lämna upplysning om var den enskilde bor eller tillfälligt uppehåller sig.

Som framgått ovan innehåller HOSP-registret inte uppgifter om de registrerades bostadsadress, fritidsbostadadress, hotell, fastighetsbeteckning, telefonnummer eller andra uppgifter som mer direkt kan peka ut var den enskilde uppehåller sig eller hur en kontakt kan etableras. En viss koppling till den enskildes hemvist finns dock genom att registret innehåller uppgift om folkbokföringsort. Även om det är en betydligt svagare koppling till den enskilde än direkta adressuppgifter, går det inte att utesluta att även uppgift om folkbokföringsort i ett enskilt fall kan bedömas vara en sådan annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor, som avses i paragrafen. En sådan situation kan möjligen föreligga för någon som är folkbokförd i ett mindre samhälle och där uppgift om folkbokföringsorten blir tillräckligt utpekande. Vår uppfattning är därför att det inte kan uteslutas att uppgift om folkbokföringsort i HOSP-registret kan omfattas av bestämmelsen i 21 kap. 3 § OSL om skydd för förföljda personer.

Vidare stadgas i 21 kap. 7 § OSL att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Av bestämmelsen följer att en utlämnande myndighet kan behöva ta reda på vad mottagaren ska använda uppgifterna till och bedöma om det är förenligt med bestämmelserna i personuppgiftslagen.

När Socialstyrelsen och Hälso- och sjukvårdens ansvarsnämnd (HSAN) prövar en legitimations- eller behörighetsfråga är det fråga om myndighetsutövning. Intresset av offentlighet och insyn i dessa ärenden måste anses vara stort. Ärendena kan emellertid

innehålla känsliga uppgifter om hälsotillstånd och andra personliga förhållanden för den som ärendet avser. Besluten i sådana ärenden kan innebära att yrkesutövaren till slut får en behörighetsinskränkning eller ett beslut om prövotid.

Enligt 25 kap. 8 a och b §§ OSL gäller sekretess för uppgift om berörd hälso- och sjukvårdspersonals hälsotillstånd eller andra personliga förhållanden i olika typer av legitimations- och tillsynsärenden hos Socialstyrelsen och HSAN. Skaderekvisitet är utformat så att sekretess endast gäller om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs, dvs. det finns en förhållandevis stark presumtion för offentlighet. Exempel på vad som kan skyddas är uppgifter om psykiska sjukdomar, missbruksproblem och allvarlig brottslighet. Sekretessen gäller dock inte beslut i sådana ärenden. Uppgiften i HOSP-registret om att en behörighet är indragen eller begränsad omfattas inte av sekretess enligt denna bestämmelse. Däremot kan bestämmelserna till exempel tillämpas om någon begär ut uppgifter från Socialstyrelsen om varför en person har fått sin förskrivningsrätt indragen.

4. Tillgång till uppgifter om behörig hälso- och sjukvårdspersonal i Norden m.m.

4.1. Sverige

Socialstyrelsen handlägger ansökningar om behörighet att utöva de 21 yrken inom hälso- och sjukvården som är reglerade i Sverige. Myndigheten är även ansvarig för att förvalta och uppdatera det nationella registret över hälso- och sjukvårdspersonal, HOSPregistret. I registret finns uppgifter om namn, personnummer, yrke, eventuell specialitet samt datumet då en legitimation eller specialistkompetens utfärdades. Registret innehåller även uppgifter om att en prövotid pågår, att legitimationen är återkallad eller att förskrivningsrätten är begränsad eller indragen. Registret innehåller inga upplysningar om pågående tillsynsärenden.

HOSP-registret är inte publikt. För att få ut uppgifter ur registret måste man kontakta Socialstyrelsen. Utlämnanden får göras på medium för automatiserad behandling, men inte genom direktåtkomst.

Socialstyrelsen skickar regelbundet ut information till de övriga nordiska länderna om de yrkesutövare som har någon behörighetsinskränkning.

4.2. Finland

I Finland ligger ansvaret för att utfärda legitimationer och bevis på specialistkompetens för hälso- och sjukvårdspersonal hos Valvira, som också utövar tillsyn över hälso- och sjukvårdspersonal. Valvira är Tillstånds- och tillsynsverket för social- och hälsovården. Valvira behandlar ansökan om legitimation eller titelskydd för alla de 39

yrkesgrupper som omfattas av lagen och förordningen om yrkesutbildade personer inom hälso- och sjukvården.

Valvira har också ansvar att upprätthålla det finska hälsopersonalregistret (Terhikki), vars offentliga informationstjänst (JulkiTerhikki) är tillgänglig på Valviras hemsida.

Man kan söka i JulkiTerhikki antingen med hjälp av personens namn eller registreringsnummer. JulkiTerhikki ger upplysningar om hälsopersonalens behörighetsstatus, dvs. om personen i fråga har giltig finsk legitimation eller titelskydd och om det finns begränsningar i behörigheten, t.ex. i rätten till att förskriva vissa läkemedel.

Om rätten att verka som yrkesutbildad person inom hälsovården har återkallats, finns personen inte längre i den offentliga informationstjänsten. JulkiTerhikki innehåller inte upplysningar om andra tillsynsåtgärder eller upplysningar om pågående tillsynsärenden

4.3. Norge

I Norge är ansvaret för att utfärda legitimationer, bevis på specialistkompetens och för tillsyn av hälso- och sjukvårdspersonal uppdelat mellan Statens Autorisasjonskontor for helsepersonell (SAFH), Helsedirektoratet og Statens helsetilsyn.

SAFH behandlar ansökningar om yrkesbehörighet for alla 29 yrkesgrupper som omfattas av behörighetsreglerna.

SAFH har också ansvar för det norska helsepersonellregistreret (HPR). HPR finns tillgängligt på SAFHs webbplats. Sökkriterier i HPR är antingen ett norskt HPR-nummer eller ett norskt personnummer.

Registret ger upplysningar om yrkesutövarens behörighetsstatus, det vill säga om denne har en giltig norsk legitimation för yrket och om det finns någon begränsning i rätten att utöva yrket. HPR innehållet inga upplysningar om reaktioner från tillsynsmyndigheten eller om pågående tillsynsärenden.

4.4. Danmark

I Danmark är Sundhedsstyrelsen den myndighet som ansvarar utfärdande av legitimationer för alla 18 legitimationsyrken och utövar tillsyn över hälso- och sjukvårdspersonal.

Namn, födelsedatum, yrkesgrupp, datum för utfärdande av legitimation, behörighetsID, eventuell specialist och behörighetsstatus finns i det danska behörighetsregistret. Därutöver registreras eventuella upplysningar tillsynsåtgärder begränsad förskrivningsrätt och återkallelse av legitimation m.m. Dessa upplysningar är offentligt tillgängliga på Sundhedsstyrelsens webbplats.

Danmark registrerar också konfidentiella upplysningar om hälso- och sjukvårdspersonals behörighet, som t.ex. tjänstgöringsförbud och frivilligt avsägande av förskrivningsrätten. De nordiska ländernas hälso- och sjukvårdsmyndigheter har tillgång till dessa upplysningar med hjälp av ett login.

4.5. Island

Island registrerar namn, personnummer, datum för yrkesbehörighet och klagomål på hälso- och sjukvårdspersonal. Varning, avstängning, återkallelse och frivilligt avsägande av behörighet registreras liksom information om läkares och tandläkares förskrivningsrätt.

Information om läkare, tandläkare, barnmorskor och sjuksköterskor som har behörighet finns tillgängligt på internet. När det gäller övrig hälso- och sjukvårdspersonal kan behörighetsstatus förmedlas per brev eller telefon.

4.6. Exempel utanför Norden

I Storbritannien finns separata publika behörighetsregister för olika yrkesgrupper inom hälso- och sjukvården. General medical council har till exempel hand om registret över praktiserande läkare (LRMP). Även i Irland och i Nederländerna finns olika former av publika register.

4.7. Sammanfattning

Samtliga nordiska länder förutom Sverige har publika register över legitimerad hälso- och sjukvårdspersonal1. Innehållet i registren och sökkriterierna skiljer sig åt mellan länderna. Alla länder utom Danmark har därutöver rutiner för att informera varandra om behörighetsinskränkningar. Danmark hänvisar istället till de publika uppgifterna och till att myndigheterna kan få ytterligare uppgifter med hjälp av login.

1Autorisationsforhold i de nordiske lande – udveksling af oplysninger, Sundhedsstyrelsen 2011.

5. Behov av ökad tillgänglighet till uppgifter om behörig hälso- och sjukvårdspersonal

5.1. Framfört behov av ett publikt register över legitimerade yrkesutövare inom hälso- och sjukvården

Socialstyrelsen har i en skrivelse till regeringen begärt att förordningen (2006:196) om register över hälso- och sjukvårdspersonal ändras på så sätt att direktåtkomst till vissa uppgifter i registret blir tillåtet.

Socialstyrelsen får upp till 100 förfrågningar om uppgifter ur HOSP-registret varje dag. Frågan kan avse uppgift om en enskild registrerad eller om grupper av registrerade. Syftet med att begära ut uppgifter ur registret är att kontrollera enskilda yrkesutövares behörighet (legitimation eller specialistkompetensbevis), när den utfärdades och om den är begränsad samt att få uppgift om förskrivarkod. De största beställargrupperna är apotek, arbetsgivare, patienter och journalister.

För att öka effektiviteten och öka servicen mot tredje man och samtidigt sänka förvaltningskostnaderna samt för att tillgodose informationsutbytet med övriga nordiska länder och andra EESländer anser Socialstyrelsen att det vore värdefullt att kunna tillgängliggöra vissa uppgifter i registret på internet

Enligt Socialstyrelsen borde följande uppgifter kunna vara tillgängliga för publik sökning:

  • namn
  • personnummer/födelsedatum
  • folkbokföringsort
  • förskrivarkod
  • behörighet (legitimation och specialistkompetensbevis)
  • legitimationsstatus, d.v.s. uppgift om behörigheten är återkallad eller begränsad.

Socialstyrelsen anser att sökningen borde kunna ske med angivande av följande sökkriterier eller kombinationer av sökkriterier.

  • förnamn
  • efternamn
  • personnummer
  • folkbokföringsort
  • behörighet

Socialstyrelsen föreslår dock inte att sökning på enbart behörighet eller folkbokföringsort ska vara möjligt. Avsikten är inte att det ska vara möjligt att göra sammanställningar av grupper av registrerade.

5.2. Framfört behov av direktåtkomst för HSAkatalogen

Center för e-Hälsa i samverkan, CeHis, koordinerar landstingens och regionernas samarbete för att utveckla och införa gemensamma e-hälsostöd, infrastruktur och regelverk som förbättrar informationstillgänglighet, kvalitet och patientsäkerhet. Inom ramen för sitt arbete har CeHis och Inera AB i en gemensam skrivelse till regeringen begärt att uppgifter från HOSP-registret ska kunna hämtas genom direktåtkomst till HSA-katalogen. I skrivelsen framställs även en begäran om att HOSP-registret ska kunna hantera registrering av personer som saknar svenskt personnummer.

Katalogtjänst HSA innehåller kvalitetssäkrade uppgifter om enheter, funktioner och personer i Sveriges kommuner, landsting och privata vårdgivare. HSA-katalogen har från att i stor utsträckning ha varit ett adressregister kommit att utvecklas allt mer som en infrastrukturell grundförutsättning för vårdgivarnas möjligheter att leva upp till de legala integritetsskyddande kraven på exempelvis behörighetsstyrning, åtkomstkontroll, patientens spärrar och samtycken. I dag används HSA-katalogen bland annat för att säkerställa att behörigheter till elektronisk åtkomst till patientinformation ges till rätt personer i rätt omfattning och vid

rätt tidpunkt. Informationen i HSA-katalogen är exempelvis styrande för åtkomst till uppgifter i den nationella patientöversikten (NPÖ) inklusive läkemedelsförteckningen. Framöver kommer även möjligheten att skicka elektroniska sjukintyg, rapportera till Nationella Kvalitetsregister och ordinera dosdispenserade läkemedel via ordinationsverktyget Pascal att förlita sig på HSA-katalogen som en källa för behörighetsstyrning. HSAkatalogen är även en förutsättning för att de grundläggande säkerhetstjänsterna som Inera AB tagit fram ska fungera. Det handlar om tjänster som exempelvis har till syfte att möjliggöra för vårdgivare att leva upp till integritetsskyddslagstiftningens krav på loggning, åtkomstkontroll, patientens spärrar och samtycken.

Information i HSA-katalogen utgör därmed underlag och är en förutsättning för olika säkerhetslösningar, till exempel användandet av tjänstelegitimationen SITHS. Det är en nationell säkerhetslösning som bygger på att anställda i vård och omsorg har en personlig e-tjänstelegitimation som möjliggör säker identifiering vid inloggning till olika IT-system och kryptering av känslig information. Det hjälper till att garantera att bara behöriga personer får tillgång till patientinformation. SITHS-kortet kan även användas till exempel inpassering och elektronisk signering av recept och dokument.

För att HSA-katalogen ska kunna utgöra grund för styrning av behörigheter är tillgång till aktuella uppgifter om legitimation, specialistkompetens och förskrivningsrätt en förutsättning. Denna information hämtas i dag in från HOSP-registret med hjälp av manuella rutiner. Var fjortonde dag tar HSA-katalogen fram en lista med cirka 300 000 personnummer, som skickas med krypterad e-post till Socialstyrelsen. Socialstyrelsen kontrollerar via en körning samtliga personnummer i filen och skapar en fil med de som återfunnits i registret med uppgifter om legitimation, specialistkompetens, förskrivningsrätt, förskrivarkod och eventuella begränsningar. Denna sparas ned på en CD-skiva och skickas till HSA-katalogen med vanlig post. HSA-katalogen läser sedan in uppgifterna. denna handläggning tar 1–2 veckor.

Utifrån dessa ledtider kan det dröja upp till fyra veckor från det att en person registreras i HSA-katalogen till dess att han eller hon har korrekta och verifierad uppgifter om legitimation, förskrivningsrätt inklusive förskrivarkod och specialistkompetens. Detsamma gäller då hälso- och sjukvårdspersonal får sin legitimation återkallad eller begränsningar i sin förskrivningsrätt.

5.2.1 Framfört behov av registrering av personer som saknar svenskt personnummer.

CeHis och Inera AB har även framställt en begäran om att HOSPregistret ska kunna hantera registrering av personer som saknar svenskt personnummer.

I HSA-katalogen har man valt att använda ett så kallat samordningsnummer eller, i fall ett sådant saknas, en kombination av passnummer, födelsedatum och giltighetstid för pass för att identifiera personer som inte är folkbokförda i Sverige.

I HOSP-registret används i dag enbart födelsedatum för personer som är folkbokförda utomlands. Detta gör kontrollen av en nyanställds legitimation och förskrivningsrätt osäker i de fallen. Det innebär också att det inte finns någon automatiserad och säkerställd kontroll av personer som saknar svenskt personnummer.

5.3. Framfört behov av direktåtkomst för behörighetskontroll av intyg

Legitimationen ska fungera som en deklaration av olika yrkesutövares kvalifikationer, t.ex. gentemot olika myndigheter som måste kunna lita på yrkesutövarna t.ex. i fråga om recept och intyg. Med arbetet att medicinskt förebygga, utreda och behandla sjukdomar och skador följer ett stort ansvar över patienternas liv och hälsa. Legitimation för hälso- och sjukvårdspersonal är ett uttryck för att yrkesutövaren står under samhällets tillsyn och har godkänts för yrkesverksamhet inom det område legitimationen avser. Det allmänna har tilldelat de legitimerade en rad befogenheter, som har betydelse både för samhällsekonomin och för den enskildes ekonomi, hälsa och rättsliga ställning m.m. Ett exempel är befogenheten för vissa yrkesutövare att i olika sammanhang utfärda intyg och utlåtanden. Bestämmelser om kompetens att utfärda intyg finns i flera lagar och föreskrifter. Den som i sin yrkesverksamhet inom hälso- och sjukvården utfärdar intyg om någons hälsotillstånd eller vård ska enligt 6 kap. 10 § patientsäkerhetslagen (2010:659) utforma det med noggrannhet och omsorg.

Transportstyrelsen har i en begäran till Socialdepartementet anfört att myndigheten vill ha tillgång till HOSP-registret genom direktåtkomst för att möjliggöra en elektronisk hantering av intyg om synundersökning. Denna hantering innefattar en behörighets-

kontroll av intygsskrivande optiker. Transportstyrelsen hanterar omkring 274 000 synintyg varje år. Vid direktåtkomst till uppgifterna till HOSP-registret skulle handläggningstiderna bli kortare, kostnaderna sjunka och pappersanvändningen minska. Direktåtkomst till registret skulle också innebära att Transportstyrelsens behörighetskontroll kunde genomföras med så aktuella uppgifter som möjligt.

6. Våra överväganden och förslag

6.1. Behovet av ökad tillgänglighet till uppgifter

Efterfrågan till uppgifter ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal kommer från flera olika intressenter. Det grundläggande syftet med att hämta in uppgifter om personalens behörighet är gemensamt; att på olika sätt trygga patientens säkerhet.

Uppgifterna i registret används regelbundet av vårdgivare för att kontrollera yrkesutövares behörighet i samband med tjänstetillsättning eller uppdatering av HSA-katalogen. Varje dag sker även stora utlämnanden till Apotekens Service AB, bl.a. för att bolaget alltid ska ha helt aktuella uppgifter över behöriga förskrivare av läkemedel. Det är en förutsättning för att Apotekens Service AB ska kunna möjliggöra för öppenvårdsapoteken att kontrollera om recept är utfärdade av behöriga förskrivare. För att försäkra sig om att synintyg är utfärdade av behörig yrkesutövare använder även Transportstyrelsen regelbundet uppgifter om legitimerad hälso- och sjukvårdspersonal. Även allmänheten vänder sig dagligen till Socialstyrelsen för att ta reda på om enskilda yrkesutövare är legitimerade eller vilken specialitet yrkesutövaren har m.m. Socialstyrelsen lämnar också ut uppgifter om enskilda yrkesutövares behörighet till utländska vårdgivare och tillsynsmyndigheter.

För patienternas trygghet och säkerhet finns ett försvarbart behov för dessa och andra intressenter att få olika uppgifter om den kompetens som yrkesutövaren har. För att möjliggöra en snabb kontroll av yrkesutövares identitet och behörighet behöver tillgången till uppgifter dessutom vara enkel och kunna ske utan större tidsfördröjning. Såväl Socialstyrelsen som Inera AB, CeHis och Transportstyrelsen har framfört önskemål om en ökad tillgänglighet till uppgifterna i registret. Mot dessa behov måste vägas den registrerade yrkesutövarens intresse av att skydda information

om sina personliga förhållanden. Behandlingen av uppgifterna i registret får därför inte vara mer omfattande än vad som är nödvändigt för att tillgodose de olika intressenternas behov. Enligt utredningen måste en noggrann behovsbedömning göras, så att en eventuell ökad tillgänglighet är anpassad efter de respektive aktörernas olika behov av uppgifter. Utredningen har inte funnit argument för att göra det fullständiga registerinnehållet helt publikt genom publicering på internet. Vårt förslag innefattar därför begränsade möjligheter att lämna ut vissa uppgifter till olika aktörer.

6.1.1. Elektroniskt utlämnande av personuppgifter

Utlämnande av uppgifter från en myndighet kan ske antingen helt manuellt eller med någon automatiserad behandling, t.ex. genom filöverföring eller direktåtkomst. För HOSP-registret är direktåtkomst inte tillåtet, men Socialstyrelsen har enligt nuvarande reglering möjlighet att lämna ut uppgifter på medium för automatiserad behandling om uppgifterna ska behandlas för något av de tillåtna ändamålen. Utlämnande på medium för automatiserad behandling kan exempelvis ske genom att uppgifterna överförs via filer, e-post, CD-skivor eller på annat elektroniskt sätt. Förutom att uppgifterna måste behandlas för de tillåtna ändamålen är ytterligare en förutsättning att uppgifterna kan lämnas ut utan hinder av sekretess. Det innebär att Socialstyrelsen har att bedöma om sekretess föreligger för de uppgifter som är föremål för begäran om utlämnande och sedan administrera det aktuella utlämnandet.

I de önskemål om ökad tillgänglighet till uppgifter som framförts av Socialstyrelsen, Inera AB, CeHis och Transportstyrelsen är det emellertid direktåtkomst som förordas. En skillnad mellan direktåtkomst och utlämnande på medium för autmatiserad behandling är att Socialstyrelsen vid det förra inte behöver göra någon manuell prövning i samband med utlämnandetillfället. Uppgifterna finns istället ständigt tillgängliga för mottagaren att ta del av. Av det följer bl.a. att det vid direktåtkomst är möjligt för mottagaren att ta del av uppgifterna utan att den utlämnande aktören, i detta fall Socialstyrelsen, behöver vidta någon manuell åtgärd. Direktåtkomst ger därmed förutsättningar för att arrangera utlämnanden som sker enkelt, snabbt och utan kontinuerlig manuell administration.

Begreppet direktåtkomst används i olika registerförfattningar utan att det finns någon egentlig legaldefinition av begreppets innebörd. Under 2011 tillsatte regeringen en utredning som antagit namnet Informationshanteringsutredningen, Ju 2011:11, med uppdrag att bl.a. analysera om det finns skäl att i registerförfattningar upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. Om utredaren anser att en åtskillnad även i fortsättningen bör upprätthållas, ska utredaren lämna förslag på vilka begrepp som bör användas och hur dessa bör definieras. Utredningen beräknas avsluta sitt arbete senast den 1 december 2014.

I avsaknad av legaldefinition har vi anslutit oss till det synsätt som bl.a. kommit till uttryck i patientdatalagen (2008:355). Med direktåtkomst avser vi en särskild form av utlämnande av uppgifter där den som lämnar ut uppgifterna inte har kontroll över vilka uppgifter mottagaren tar del av eller när det sker och där mottagaren inte kan ändra eller påverka innehållet i det informationssystem eller register som informationen lämnas ut ifrån. Vidare karaktäriseras direktåtkomsten av att den som lämnar ut uppgifter saknar möjlighet att i samband med utlämnandet, d.v.s. när uppgifterna görs elektroniskt tillgängliga, göra en särskild sekretessprövning. Bestämmelser om direktåtkomst anses dock inte ha sekretessbrytande effekt i sig utan att de – om andra myndigheter eller enskilda ska kunna medges direktåtkomst till sekretessbelagda uppgifter – måste kombineras med särskilda sekretessbrytande regler.

6.1.2. Sekretessreglering för uppgifter i HOSP-registret

Som redovisats mer utförligt i avsnitt 3.3 omfattas uppgifter i HOSP-registret av sekretess bl.a. genom bestämmelser i 6 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, som utfärdats med stöd av 22 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt möjligen i 21 kap. 3 § OSL. Även om sekretesskyddet är svagt och det föreligger en presumtion för att uppgifterna är offentliga, är samtliga uppgifter således sekretessreglerade.

Av den grundläggande bestämmelsen i 7 kap. 3 § OSL om konkurrens mellan sekretessbestämmelser gäller som huvudregel att den bestämmelse som ger det starkaste skyddet för uppgiften ska

tillämpas i det enskilda fallet. Vid en jämförelse mellan bestämmelserna i 21 kap. 3 § OSL och 6 § OSF kan generellt konstateras att båda bestämmelserna innehåller ett rakt kvalificerat skaderekvisit, d.v.s. det gäller en extra stark presumtion för att uppgifterna är offentliga. Uppgifterna får bara hemlighållas om det ”av särskild anledning” kan antas att skadan inträffar. En skillnad är dock att bestämmelsen i 21 kap. 3 § OSL, förutom att den i första hand omfattar uppgifter som pekar ut var den enskilde bor eller uppehåller sig, endast ger skydd för det fall den enskilde kan komma att utsättas för hot eller våld eller lida annat allvarligt men, medan det i 6 § OSF inte ställs krav på att det ska vara fråga om allvarligt men för att ett skydd för uppgiften ska kunna föreligga. Utredningens uppfattning är därför att det för Socialstyrelsens del i första hand handlar om att tillämpa 6 § OSF vid utlämnande av uppgifter ur HOSP-registret, eftersom bestämmelsen generellt ger ett starkare skydd för samtliga uppgifter i registret. Några andra tillämpliga sekretessbestämmelser, t.ex. i 25 kap. OSL om sekretess inom hälso- och sjukvården, har vi inte funnit just för de uppgifter som behandlas i HOSP-registret. Däremot finns ett flertal sekretessbestämmelser som tar sikte på den hantering som sker hos Socialstyrelsen till exempel i samband med ärenden om legitimation och klagomål mot hälso- och sjukvårdspersonal.

6.2. Behovet av ett publik register

Vårt förslag: Vi föreslår att allmänheten och andra intressenter

får tillgång till vissa uppgifter ur Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret) genom direktåtkomst. Det ska vara möjligt att genom direktåtkomst ta del av uppgifter om yrkesutövarens namn, födelseår, yrke, specialitet samt datum för utfärdande av legitimation respektive bevis om specialistkompetens. Vi föreslår att direktåtkomsten inte ska omfatta uppgifter om beslut om prövotid eller behörighetsinskränkningar. I praktiken innebär det att direktåtkomsten vid varje givet tillfälle är begränsad till uppgifter om de yrkesutövare som har en giltig legitimation och därtill inte har någon behörighetsinskränkning eller prövotid. En yrkesutövare som har fått legitimationen återkallad, förskrivningsrätten indragen eller begränsad eller befinner sig under prövotid får

därmed inte vara sökbar och återfinnas i det publika registret. För att det ska bli möjligt för Socialstyrelsen att tillhandahålla allmänheten information ur HOSP-registret föreslår vi att detta uttryckligen ska anges som ett tillåtet ändamål för registret. Vi föreslår även att det enbart ska vara möjligt att använda den registrerades namn, personnummer, eventuellt samordningsnummer, yrke och specialitet som sökbegrepp. Det ska vara obligatoriskt att ange antingen den registrerades namn eller personnummer eller någon annan identitetsbeteckning vid sökningen. För att möjliggöra direktåtkomst föreslår vi att de uppgifter som ska få göras tillgängliga genom direktåtkomst undantas från sekretess.

6.2.1. Ökad tillgänglighet för allmänheten

Våra överväganden

Legitimation för yrke inom hälso- och sjukvården är förbehållen sådana yrkesgrupper som har kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Yrkesutövaren står därmed under samhällets tillsyn och har godkänts för yrkesverksamhet inom det område som legitimationen avser. Legitimationen ska vara en garanti för en viss kunskapsnivå och för sådana personliga egenskaper hos yrkesutövaren att denna är förtjänt av allmänhetens och myndigheternas förtroende. Yrkeslegitimationen fyller därför ett viktigt informationsbehov, dels gentemot allmänheten som behöver en lättfattlig deklaration av olika yrkesutövares kvalifikationer, dels gentemot olika myndigheter som måste kunna lita på yrkesutövarna t.ex. i fråga om recept och intyg och dels gentemot sjukvårdshuvudmännen för att undvika att personer anställs som visar sig vara uppenbart olämpliga för yrket.

Mot bakgrund av syftet med legitimering av hälso- och sjukvårdspersonal framstår det som motiverat att göra information om de legitimerade mer tillgänglig än vad som är fallet i dag. Mot detta berättigade intresse för olika aktörer att på ett enkelt sätt kunna ta del av de uppgifter som finns om legitimerade yrkesutövare ska ställas de registrerade yrkesutövarnas rätt till skydd för den personliga integriteten. En ökad tillgänglighet till uppgifterna, exempelvis genom internetpublicering, innebär alltid en ökad spridning av personuppgifter och därmed ett ökat integritets-

intrång. För att det ska kunna motiveras krävs att behovet och nyttan av åtgärden bedöms större än intrånget i de registrerades personliga integritet.

Vi anser att det ska vara lätt för patienter och närstående att ta reda på om den yrkesutövare som de överväger att söka hjälp hos har rätt formell kompetens för sitt arbete. Detta ligger i linje med den förstärkning av individens delaktighet och inflytande i sin hälsosituation som eftersträvas. Information är av avgörande betydelse för patientens möjlighet att utöva sitt självbestämmande och vara delaktig i vården. Såväl reglerna om krav på viss behörighet för hälso- och sjukvårdspersonal som möjligheten att återkalla denna har tillkommit till skydd för patienten.

Vi föreslår därför att Socialstyrelsen ska få lämna ut vissa grundläggande personuppgifter och uppgifter om yrkesutövarnas legitimation genom direktåtkomst. En sådan direktåtkomst som riktar sig till allmänheten erbjuds lämpligen genom publicering på internet. Genom att patienten själv – när som helst på dygnet – kan kontrollera behörigheten hos de yrkesutövare som han eller hon möter i vården, stärks patientens möjlighet att vara informerad och vid behov skydda sig mot obehöriga eller olämpliga yrkesutövare. I dag måste patienten kontakta Socialstyrelsen för att få uppgifterna utlämnade. Vi anser därför att patientens behov av att skydda sig mot sådana yrkesutövare inte tillgodosetts på ett tillfredsställande sätt. Genom att erbjuda allmänheten en möjlighet att på egen hand ta del av uppgifterna genom direktåtkomst får Socialstyrelsen därtill förutsättningar att minska den administration som föranleds av dagens många manuella förfrågningar. Patientens möjlighet att själv kunna kontrollera yrkesutövarnas behörighet kan även fungera som en påtryckning på vårdgivarna. Patienterna kan på så sätt kontrollera hur vårdgivarna sköter sitt ansvar för att det finns personal med rätt kompetens. Förslaget ger även de enskilda legitimerade yrkesutövarna en möjlighet att på ett enkelt och kvalitetssäkrat sätt erbjuda information om den behörighet som särskiljer dem från andra, icke legitimerade, yrkesgrupper.

I sammanhanget kan viss jämförelse göras med det så kallade fastighetsmäklarregistret. Det är ett register över samtliga som är eller har varit registrerade fastighetsmäklare. Den myndighet som är personuppgiftsansvarig för registret har i förordning ålagts att på sin webbplats öppet publicera vissa uppgifter om registrerade fastighetsmäklare, t.ex. namn, typ av registrering, datum för registrering samt arbetsgivarens namn och adress.

Vilka uppgifter i registret ska få göras tillgängliga för allmänheten genom direktåtkomst?

Med hänsyn till den proportionalitetsavvägning som ska göras mellan behovet av en ökad tillgänglighet till uppgifterna och risken för intrång i de registrerades personliga integritet är vår uppfattning att ett helt publikt register omfattande samtliga uppgifter i HOSP-registret inte kan komma ifråga. Att exponera förskrivarkoden på internet skulle dessutom kunna medföra allvarliga risker för missbruk av förskrivarkoden i försök att få läkemedel expedierade. Vidare saknas skäl att publicera de registrerades personnummer och uppgifter som handlar mer om den enskildes privatliv än om yrket, t.ex. folkbokföringsorten.

Beslut om återkallelse av legitimation ska ge allmänheten skydd mot olämpliga yrkesutövare. Även beslut om begränsning eller indragning av en läkares eller tandläkares behörighet att förskriva narkotiska läkemedel, andra särskilda läkemedel, alkoholhaltiga läkemedel eller teknisk sprit har karaktär av skyddsåtgärder. När det gäller beslut om prövotid anses en sådan åtgärd vara ett första led i den skyddsåtgärd som återkallelse av legitimation utgör.1 De utökade möjligheterna att besluta om prövotid som infördes genom patientsäkerhetslagen (2010:659) syftade till att stärka åtgärdens karaktär av skyddsåtgärd genom ökad kontroll av yrkesutövaren som kan anses utgöra en fara för patientsäkerheten.

Även om samtliga dessa åtgärder mot yrkesutövaren syftar till att skydda patienten föreligger en viss skillnad mellan de behörighetsinskränkande besluten och beslut om prövotid. Prövotiden innebär ingen behörighetsinskränkning. Tanken är att den legitimerade ska använda prövotiden till att förbättra sina förutsättningar att arbeta på ett säkert sätt. Under denna tid har såväl yrkesutövaren själv som vårdgivaren ett ansvar för att han eller hon arbetar under säkra former. Om det behövs ska han eller hon följa en prövotidsplan för att komma tillrätta med de missförhållanden som legat till grund för beslutet om prövotid. Socialstyrelsen har som tillsynsmyndighet ett särskilt ansvar att följa den legitimerade under prövotiden.2 En legitimerad som är föremål för ett beslut om prövotid bedöms alltså fortfarande kunna utöva sitt yrke tillfredsställande. Åtgärden ska förebygga att legitimationen återkallas. Därför föreligger inte samma informationsbehov gentemot

1Prop. 1997/98:109 s. 114 och prop. 2009/10:210 s. 104. 2Prop. 1997/98:109 s. 116.

allmänheten som när en yrkesutövare får legitimationen återkallad eller förskrivningsrätten indragen. En ökad spridning av uppgiften om ett beslut om prövotid kan därtill upplevas som mycket känslig för yrkesutövaren under en tid då han eller hon arbetar med att förbättra sina yrkesmässiga förutsättningar. Mot den bakgrunden anser vi att uppgift om beslut om prövotid inte ska få lämnas ut genom direktåtkomst till allmänheten.

När det gäller de behörighetsinskränkande besluten finns sannolikt ett annat informationsbehov gentemot allmänheten än vad som är fallet vid prövotid. Ur skyddssynpunkt torde det vidare vara viktigare att få reda på om en yrkesutövares legitimation har återkallats än att förskrivningsrätten är begränsad eller indragen. Å andra sidan blir en försvinnande liten andel av de cirka 300 000 som är registrerade i HOSP-registret föremål för behörighetsinskränkande beslut. Under år 2011 var det exempelvis endast 14 personer som fick sin legitimation återkallad och så lite som tre personer som fick förskrivningsrätten begränsad eller indragen. Det är ungefär 440 registrerade totalt som har sin legitimation återkallad, ungefär 100 som har sin förskrivningsrätt indragen eller begränsad och ungefär 100 som har prövotid. Mot den bakgrunden bedömer vi behovet av att publicera sådana uppgifter som förhållandevis litet. Det behovet ska även ställas mot det faktum att behörighetsinskränkande beslut är integritetskänsliga och riskerar att utsätta yrkesutövaren för andras missaktning om uppgifterna publiceras genom direktåtkomst till allmänheten.

Vi föreslår därför att uppgifter om återkallelse av legitimation, indragning eller begränsning av förskrivningsrätt samt prövotid inte ska få lämnas ut genom direktåtkomst. Vi anser vidare att inga andra personuppgifter rörande en legitimerad yrkesutövare som är föremål för någon av de behörighetsinskränkande åtgärderna eller prövotid, ska få finnas i det publika registret. Det publika registret får därför vid varje givet tillfälle endast innehålla uppgifter om de yrkesutövare som som har en giltig legitimation och därtill inte har någon behörighetsinskränkning eller prövotid.

En följd av förslaget är således att det publika registret inte får innehålla några uppgifter över huvud taget om de yrkesutövare som förvisso innehar legitimation, men är föremål för beslut om prövotid eller begränsad eller indragen förskrivningsrätt. Samtliga som innehar en legitimation kommer därmed inte att återfinnas i det publika registret. Uppgifter om sådana yrkesutövare finns dock alltjämt kvar i HOSP-registret och kan precis som i dag begäras ut

hos Socialstyrelsen, som efter sekretessprövning kan göra ett utlämnande. Med hänsyn till det fåtal det sannolikt handlar om bedömer vi att allmänhetens behov av information och Socialstyrelsens möjligheter att förenkla administrationen i allt väsentligt tillgodoses. Vi bedömer vidare att patientens behov tillgodoses genom att den som inte får träff vid en sökning i det begränsade publika registret samtidigt får en indikation om att det kan finnas ytterligare information om yrkesutövaren. Patienten kan i så fall kontakta Socialstyrelsen och begära ut uppgifterna på vanligt sätt.

Om Socialstyrelsen väljer att använda sig av den föreslagna möjligheten till ett publikt register med begränsat innehåll är det viktigt att myndigheten gör det tydligt för användaren vilka uppgifter som han eller hon kommer att få del av och vad det innebär att vissa uppgifter inte lämnas ut på detta sätt. Det bör exempelvis tydliggöras att det kan finnas personer som är legitimerade men som inte finns med i det publika registret och att inga uppgifter om behörighetsinskränkningar publiceras.

De personuppgifter om den enskilde som vi föreslår ska vara möjliga att lämna ut genom direktåtkomst är den enskildes namn, födelseår, yrke, specialitet samt datum för utfärdande av legitimation respektive bevis om specialistkompetens. Frånsett uppgift om födelseår, som kan behövas för särskiljning mellan individer, är det således endast uppgifter som har att göra med den enskildes yrke som ska få lämnas ut på detta sätt. Vi har även övervägt om uppgift om folkbokföringsort ska få lämnas ut, men av olika skäl kommit fram till att det inte ska vara tillåtet. Ett skäl är att folkbokföringsorten, med tanke på hur rörlig arbetsmarknaden är för viss hälso- och sjukvårdspersonal, inte nödvändigtvis ger full vägledning för att skilja personer med samma namn m.m. åt. Vidare är folkbokföringsorten en uppgift av mer privat karaktär än de övriga och därmed inte nödvändig för att uppnå syftet med att öka tillgängligheten till uppgifter i HOSP-registret. Dessutom är folkbokföringsorten en av få uppgifter i registret som skulle kunna omfattas av sekretess i ett enskilt fall, t.ex. om en yrkesutövare är förföljd eller utsatt för liknande påtryckningar.

För att Socialstyrelsen ska kunna lämna ut de aktuella personuppgifterna genom direktåtkomst föreslår vi att förordningen ändras så att direktåtkomst uttryckligen tillåts.

En ytterligare förutsättning för att direktåtkomst för allmänheten ska bli tillåten är att den behandling av personuppgifter, som ett sådant utlämnande innebär, måste utgöra en tillåten

behandling av personuppgifter i sig. I förordningens nuvarande ändamålsbestämmelse finns uppräknat för vilka ändamål Socialstyrelsen får använda uppgifterna i registret. Vår bedömning är att inget av de befintliga ändamålen på ett tydligt sätt tillåter en personuppgiftsbehandling som innebär att personuppgifter publiceras genom direktåtkomst för allmänheten. Mot den bakgrunden föreslår vi att förordningens ändamålsbestämmelse kompletteras på ett sådant sätt att det uttryckligen framgår att Socialstyrelsen får behandla personuppgifterna för att informera allmänheten om legitimerad hälso- och sjukvårdspersonals identitet och behörighet.

Vilka sökbegrepp bör tillåtas?

Syftet med att göra uppgifter ur HOSP-registret mer tillgängliga för allmänheten och andra intressenter som snabbt behöver få tillgång till uppgifterna är att bättre ta tillvara det skydd som behörighetsreglerna innebär. De uppgifter som behövs för att uppfylla det skyddsbehovet är uppgifter om en enskild yrkesutövares behörighet. Det finns däremot inte något skyddssyfte med tillåta att direktåtkomsten används till att göra olika sammanställningar ur registret.

Med hänsyn till de registrerades personliga integritet föreslår vi därför att sökbegreppen begränsas och att det enbart ska vara möjligt att göra enkla sökningar med hjälp av namn eller någon form av identitetsbeteckning (exempelvis personnummer eller samordningsnummer), yrke och specialitet. Vi har övervägt om det skulle vara tillräckligt att tillåta sökning endast på namn eller identitetsbeteckning. Men möjligheterna till att få ett mer precist sökresultat förbättras om sökning kan göras även på yrke och specialitet. Det medför exempelvis att den som känner till en yrkesutövares namn och yrke, inte i onödan blir exponerad för samtliga registrerade som har samma namn. För att inte öppna upp för en generell möjlighet att göra sammanställningar föreslår vi även att något av sökbegreppen namn eller identitetsbeteckning alltid måste anges vid sökning. Detta innebär bl.a. att det ska vara möjligt att göra själva sökningen på ett fullständigt person- eller samordningsnummer, men att det är endast födelseår som får presenteras som sökresultat.

Är nyttan av ökad tillgänglighet till registret större än risken för att de registrerades integritet kränks?

Vårt förslag till ökad tillgänglighet till uppgifter i HOSP-registret innebär en ökad spridning av uppgifter jämfört med vad som är fallet i dag. Vi bedömer dock att det berättigade behov som allmänheten och andra har av att snabbt och enkelt kunna kontrollera en yrkesutövares behörighet väger tyngre än den risk för integritetsintrång som följer av en ökad tillgänglighet. Som nämnts tidigare kan viss jämförelse göras med registret över registrerade fastighetsmäklare och de uppgifter ur det registret som är föremål för webbpublicering. Det finns stora likheter mellan vårt förslag om ett begränsat publikt register över hälso- och sjukvårdspersonal och fastighetsmäklarregistret, även om det senare innehåller uppgifter som till viss del även kan ge upplysning om var den enskilde uppehåller sig eller hur en kontakt kan tas.

Vi har ovan redovisat ett antal olika avvägningar mellan behovet av en ökad tillgänglighet och risken för otillbörliga intrång i de registrerades personliga integritet och därvid bl.a. begränsat de uppgifter som får vara föremål för direktåtkomst så långt som det är möjligt med hänsyn till ändamålet med förslaget. Vi föreslår även begränsade sökmöjligheter för att inte öppna upp för generella sammanställningar och för att förhindra att uppgifter om fler individer än nödvändigt exponeras vid en sökning. Det är dessutom endast uppgifter rörande de yrkesutövare som inte är föremål för beslut om behörighetsinskränkning eller prövotid som får publiceras. De uppgifter som ska få publiceras har även uteslutande att göra med den enskildes yrkesutövning och inte med hans eller hennes privatliv.

Det finns påtagliga fördelar med att erbjuda allmänheten direktåtkomst till uppgifter om hälso- och sjukvårdspersonalens behörigheter, särskilt vad gäller patientens säkerhet, delaktighet, självbestämmande och förtroende för hälso- och sjukvården. Sammantaget bedömer utredningen att fördelarna med att ge Socialstyrelsen en möjlighet att införa ett begränsat publikt register väger tyngre än den risk för integritetsintrång som den ökade tillgängligheten till uppgifterna innebär.

Lättnader i sekretessen för vissa uppgifter i registret

De sekretessbestämmelser som gäller till skydd för uppgifterna i HOSP-registret kan i dag föranleda att en sekretessprövning görs innan uppgifter får lämnas ut ur registret. Den primära sekretessbestämmelsen till skydd för dessa uppgifter finns i 6 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, och innebär att sekretess gäller för uppgift om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretesskyddet är därmed svagt och huvudregeln är att uppgifterna är offentliga. Skadebedömningen ska i huvudsak kunna göras med utgångspunkt i själva uppgiften. Det innebär att frågan huruvida sekretess gäller, inte i första hand behöver knytas till en skadebedömning i det enskilda fallet. Avgörande bör istället vara om uppgiften är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös ska den alltså normalt anses falla utanför sekretessen.3Avsikten bakom bestämmelsen är således inte att en tjänsteman vid Socialstyrelsen ska försöka utröna om det i varje enskilt fall finns omständigheter som kan föranleda att uppgiften anses sekretessbelagd. En sådan åtgärd bör bara förekomma om det finns anledning till det, t.ex. om information om sådana omständigheter inkommit till myndigheten.

I vissa fall kan det dock skada en person att uppgifter om denne lämnas ut. Som exempel kan nämnas uppgifter om var någon som är hotad eller förföljd bor eller tillfälligt uppehåller sig.

Vi anser att det alltjämt finns skäl för att låta vissa uppgifter i HOSP-registret omfattas av sekretesskyddet. Inte minst mot bakgrund av att det inom vård och omsorg förekommer våld och hot om våld som riktar sig mot personalen, bör försiktighet iakttas innan uppgifter som t.ex. kan ge vägledning om var yrkesutövaren bor publiceras. Mot den bakgrunden och med hänsyn till ändamålen med vårt förslag har vi begränsat det antal uppgifter om individen som ska få göras tillgängliga genom direktåtkomst. Förslaget innebär att inga uppgifter som kan ge upplysning om var den enskilde bor eller uppehåller sig får publiceras. Inte heller får personnummer eller förskrivarkod finnas i det publika registret. Vidare saknas helt och hållet uppgifter som kan innebära att den

3 Regeringens proposition Offentlighets- och sekretesslag, prop. 2008/09:150 s. 348.

enskilde utsätts för andras missaktning, t.ex. uppgifter om behörighetsinskränkningar. Sammantaget innebär det att de uppgifter vi föreslår ska få göras tillgängliga genom direktåtkomst är harmlösa och uteslutande relaterade till den enskildes yrkesutövning. Enligt vår bedömning är det fråga om sådana grundläggande uppgifter som typiskt sett kan lämnas ut utan att den enskilde lider men av utlämnandet. Ändå omfattas samtliga uppgifter i HOSP-registret (även de som vi föreslår ska få publiceras) formellt av sekretess, d.v.s. uppgifterna är sekretessreglerade. För att möjliggöra den begränsade direktåtkomst vi föreslår krävs därför att sekretessen för uppgifterna bryts. Vi föreslår att det i OSF tas in en bestämmelse som innebär att sekretess i Socialstyrelsens register över hälso- och sjukvårdspersonal inte gäller för uppgift om namn, födelseår, yrke, specialitet samt datum för utfärdande av legitimation respektive bevis om specialistkompetens. En sådan bestämmelse medför att Socialstyrelsen inte behöver göra någon prövning i det enskilda fallet innan dessa uppgifter lämnas ut. För övriga uppgifter i HOSP-registret bör dock sekretesskyddet bibehållas. Det innebär att t.ex. uppgift om folkbokföringsort, personnummer, förskrivarkod, beslut om prövotid och behörighetsinskränkningar samt eventuella administrativa uppgifter om den enskildes personliga förhållanden även fortsättningsvis omfattas av sekretesskyddet.

Vårt förslag till lättnad i sekretessen medför att en legitimerad yrkesutövare, avseende de aktuella uppgifterna, i viss utsträckning får ett sämre sekretesskydd hos Socialstyrelsen än vad som är fallet t.ex. hos den offentliga vårdgivare yrkesutövaren arbetar. Utredningens bedömer emellertid att de praktiska konsekvenserna är ringa eftersom de sekretessbestämmelser som gäller för personal inom hälso- och sjukvården, bl.a. i 10 § OSF och 39 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, dels inte omfattar de uppgifter som vi föreslår ska undantas från sekretess i HOSP-registret, dels ger ett relativt svagt sekretesskydd. Den förstnämnda bestämmelsen har ett omvänt skaderekvisit och ger ett starkare sekretesskydd t.ex. för enskilds personnummer, hemtelefonnummer och bostadsadress. Bestämmelsen tar emellertid inte alls sikte på namn och de uppgifter om den enskildes yrkesutövning vi föreslår ska undantas från sekretess. De uppgifterna har inte ansetts vara lika skyddsvärda som sådana uppgifter som t.ex. pekar ut var den enskilde bor. Av bestämmelsen i 39 kap. 3 § OSL följer visserligen att sekretess gäller för enskilds

personliga förhållanden i personaladministrativ verksamhet. Men sekretssen är svag och det krävs att det kan antas att den enskilde utsätts för våld eller lider annat allvarligt men om uppgiften röjs för att uppgiften ska anses vara sekretessbelagd. Det torde därmed krävas särskilda omständigheter för att de uppgifter som vi föreslår ska undantas från sekretessen i HOSP-registret ska kunna hemlighållas av en offentlig vårdgivare vid tillämpning av bestämmelsen om sekretess i personaladministrativ verksamhet.

De begränsningar i allmänhetens sökmöjligheter som vi föreslår är i praktiken även väsentliga i detta sammanhang. Sökbegränsningarna innebär nämligen att den som vill kontrollera en yrkesutövares identitet och behörighet redan innan behöver ha kännedom om yrkesutövarens namn, personnummer, samordningsnummer eller annan liknande identitetsbeteckning.

6.2.2. Ökad tillgänglighet för tillsynsmyndigheter och vårdgivare utanför Sverige

Våra överväganden

Inom Norden gäller den nordiska överenskommelsen4 om en gemensam arbetsmarknad för viss hälso- och sjukvårdspersonal. Huvudregeln i överenskommelsen innebär att den som har legitimation eller auktorisation att utöva reglerat yrke i ett nordiskt land ska ha rätt att få behörighet även i annat nordiskt land. Detta innebär att det finns behov av att lätt kunna kontrollera kompetens och behörighet för hälso- och sjukvårdspersonal inom hela Norden.

Utöver möjligheten att arbetsgivaren på eget initiativ kontrollerar detta med registren i respektive land finns också ett visst samarbete med utbyte av uppgifter mellan tillsynsmyndigheterna i Norden. Samtliga nordiska länder utom Sverige har någon form av publikt register över legitimerad hälso- och sjukvårdspersonal. Trots detta inträffar det att hälso- och sjukvårdspersonal som fått sin behörighet indragen i ett av länderna åker till någon av de andra och lyckas få anställning där. Detta tyder på att den som rekryterar hälso- och sjukvårdspersonal måste bli mer noggrann med att kontrollera kompetens och behörighet hos den de anställer. Mot bakgrund av det ansvar som vårdgivarna har bör även referenser tas.

4 SÖ 1994:2 Nr 2 Överenskommelse om nordisk arbetsmarknad för viss hälso- och sjukvårdspersonal och veterinärer.

Nordiska rådets välfärdsutskott har beslutat (A 1506/velferd, 2010-09-22) att föreslå för de nordiska regeringarna att inrätta ett gemensamt nordiskt elektroniskt register för all hälso- och sjukvårdspersonal. Välfärdsutskottet föreslår inte att registret ska vara publikt. Avsikten är att registret bara ska vara tillgängligt till de som behöver det för rekrytering. Välfärdsutskottet anser att förslaget syftar till att garantera de nordiska medborgarna den patientsäkerhet som alla ska ha en rätt till i våra nordiska länder.

För att undvika att personer anställs som visar sig vara uppenbart olämpliga och för att underlätta dessa kontroller för aktörer även utanför Sveriges gränser bör det även för dessa bli lättare än i dag att kontrollera identitet och behörighet på yrkesutövare med svensk legitimation. Utredningen har dock inte funnit tillräckliga skäl att ge utländska aktörer direktåtkomst till samtliga uppgifter i HOSP-registret. En sådan åtkomst skulle i dagsläget innebära ett omotiverat integritetsintrång. Det går dock inte att utesluta att det i framtiden, med en ännu större rörlighet av såväl yrkesutövare som patienter, kan finnas skäl att göra andra bedömningar. I dagsläget bedömer vi dock att det behov som utländska vårdgivare och tillsyns- och auktorisationsmyndigheter har av att kontrollera enstaka individers behörighet mycket väl kan tillgodoses genom den möjlighet till direktåtkomst för allmänheten som föreslås. Förslaget innebär att uppgifterna i HOSP-registret blir tillgängliga på liknande sätt som i de övriga nordiska länderna och att den som söker information får reda på att yrkesutövaren är legitimerad och inte föremål för behörighetsinskränkning eller prövotid. Utländska aktörer får därmed möjlighet att själva kontrollera identitet och behörighet på i stort sett samtliga registrerade yrkesutövare. För att ta reda på uppgifter om de få individer som har behörighetsinskränkningar eller prövotid krävs att en sedvanlig kontakt med Socialstyrelsen tas. Med hänsyn till det fåtal yrkesutövare som är föremål för sådana åtgärder bedömer vi att såväl ändamålet med att öka tillgängligheten som strävan efter att förenkla Socialstyrelsens administration i allt väsentligt tillgodoses med vårt förslag. Det finns dessutom ingenting som hindrar att utlämnandet av uppgifter till utländska aktörer effektiviseras inom ramen för den nuvarande regleringen, t.ex. genom att införa en mer eller mindre automatiserad ”fråga/svars-funktion”. Därutöver finns redan i dag rutiner för utbyte av information mellan tillsynsmyndigheterna i de nordiska länderna. Socialstyrelsen skickar regelbundet ut information om de yrkesutövare som har någon behörighetsinskränkning.

6.2.3. Effektivare handläggning

Våra överväganden

Ett HOSP-register som är tillgängligt på internet och som ger allmänheten och andra aktörer besked om vilka yrkesutövare som är legitimerade och saknar behörighetsinskränkning eller prövotid, skulle innebära en omfattande effektivisering av Socialstyrelsens handläggning eftersom de flesta förfrågningar skulle kunna hänvisas till internet. Myndigheten kan istället använda sina resurser till att svara på de frågor som registret på internet inte kan ge svar på, till exempel på grund av att uppgifterna rör en behörighetsinskränkning eller till att hantera frågor om större sammanställningar.

6.3. Behovet av direktåtkomst för vissa aktörer

6.3.1. Direktåtkomst för vårdgivare

Vårt förslag: Vi föreslår vissa ändringar av de bestämmelser som

reglerar för vilka ändamål som uppgifterna i registret får användas. Uppgifterna ska få användas för att kontrollera legitimerad hälso- och sjukvårdspersonals identitet och behörighet i samband med tjänstetillsättning, under anställning och vid intygsutfärdande. För de ändamålen ska Socialstyrelsen få ge vårdgivare direktåtkomst till ett flertal uppgifter ur registret, bl.a. namn, personnummer, folkbokföringsort, förskrivarkod, yrke, specialitet, datum för utfärdande av legitimation, uppgift om behörigheten är begränsad, indragen eller återkallad samt uppgift om beslut om prövotid. Vi föreslår även att registret ska få innehålla andra uppgifter som identifierar en registrerad än personnummer. För att möjliggöra att direktåtkomsten kan ske utan hinder av sekretess föreslår vi att det införs en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400) som anger att sekretess inte hindrar att uppgifter lämnas ut genom direktåtkomst till vårdgivare enligt vad som anges i förordningen (2006:196) om register över hälso- och sjukvårdspersonal.

Våra överväganden

Behörighetsreglerna ska bidra till att samhällets mål om att hälso- och sjukvården ska vara av god kvalitet uppnås och till att patientens behov av trygghet i vården och behandlingen tillgodoses. Reglerna ska bidra till att upprätthålla en hög patientsäkerhet. Vårdgivaren har ansvaret för att det finns rätt kompetens i verksamheten. Därför är det viktigt att arbetsgivare (vårdgivare) lätt kan kontrollera yrkesutövarens kompetens och behörighet; både i samband med rekrytering och under löpande anställning för att kunna säkerställa att den anställde är behörig att utöva sina arbetsuppgifter. Vi föreslår därför att ändamålsbestämmelserna ändras på så sätt att uppgifterna i HOSP-registret får användas för att kontrollera behörigheten såväl vid rekrytering som under pågående anställning. De nuvarande reglerna tillåter bara behandling för kontroller i samband med rekrytering. I samband med ändring av denna bestämmelse föreslår vi att detta ändamål ska vara det första som nämns i bestämmelsen. Numreringen av de i 5 § förordningen (2006:196) om register över hälso- och sjukvårdspersonal angivna ändamålen kommer därför att ändras helt och hållet. Vi föreslår dessutom att det läggs till ett helt nytt tillåtet ändamål, se avsnitt 6.2.1.

Bättre behörighetskontroll – för säker vård och rätt anpassad åtkomst till känslig information om patienter

I patientdatalagen (2008:355), förkortad PDL, finns bestämmelser om vårdgivarens ansvar för att hälso- och sjukvårdspersonalen har rätt behörighet för åtkomst till patientuppgifter i exempelvis journalsystemen. Ytterligare bestämmelser om detta finns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Alla användare ska efter en behovs- och riskanalys tilldelas en individuell behörighet som är begränsad till vad som är nödvändigt för att ge en god och säker vård. Det innebär att användarnas behörighet i vårdgivarens informationssystem måste vara anpassad till deras arbetsuppgifter. Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Om en användare får nya arbetsuppgifter eller om användarens behörighet att utöva yrket är begränsad ska behörig-

heten till åtkomst till patientuppgifter följas upp och förändras så att den stämmer överens med de nya arbetsuppgifterna. Även beslut om begränsad eller indragen förskrivningsrätt måste snarast möjligt få genomslag i behörighetsstyrningen, exempelvis på sådant sätt att den som fått indragen förskrivningsrätt inte längre kan använda ordinationsverktyget Pascal för att ordinera dosläkemedel.

Av PDL och Socialstyrelsens föreskrifter följer även krav på att användarens identitet styrks genom s.k. stark autentisering vid åtkomst till patientuppgifter över öppet nät. Stark autentisering kan uppnås genom användning av exempelvis e-tjänstelegitimationen SITHS. För flertal av de nationella e-hälsotjänsterna, exempelvis NPÖ och Pascal, ställs krav på identifiering genom stark autentisering. För att dessa tjänster ska kunna användas på ett patientsäkert och integritetsskyddande sätt krävs att vårdgivarna har uppdaterade och korrekta uppgifter om den personal som är verksam. Om vårdgivare kan erbjudas direktåtkomst till uppgifter i HOSPregistret, så att uppgifterna kan läggas till grund för registrering i HSA-katalogen, uppstår möjligheter att göra en omedelbar och automatisk behörighetskontroll av hälso- och sjukvårdspersonalen. Vårdgivarnas förutsättningar att använda de nationella ehälsotjänsterna på ett sätt som gagnar både patientsäkerheten och patientintegriteten skulle bli väsentligt bättre med en sådan lösning jämfört med den tidskrävande manuella hantering som används i dag. För att möjliggöra löpande kontroll av yrkesutövarnas behörighet föreslår vi därför dels att ändamålsbestämmelserna i förordningen ändras på så sätt att uppgifterna får användas för kontroll av yrkesutövarens behörighet även vid andra tillfällen än i samband med rekrytering, dels att direktåtkomst till uppgifterna tillåts för vårdgivare. Förslaget ger vårdgivare möjlighet att själva direkt mot registret kontrollera enskilda yrkesutövares behörighet, men även att på en mer infrastrukturell systemnivå kontinuerligt uppdatera personalens uppgifter och status i HSA-katalogen. Vi öppnar därmed upp för olika typer av direktåtkomst. Vårdgivare kan exempelvis erbjudas åtkomst för att direkt ta del av enstaka uppgifter i registret eller erbjudas åtkomst som ger vårdgivare möjlighet att skapa en systemlösning som gör att uppgifterna i HSA-katalogen hålls uppdaterade, t.ex. genom Inera AB:s försorg.

Närmare om direktåtkomstens innebörd och omfattning

För att möjliggöra en bättre behörighetskontroll och en bättre följsamhet till de integritetsskyddande bestämmelserna om behörighetsstyrning och autentisering föreslår vi därför att vårdgivare ska kunna erbjudas direktåtkomst till uppgifter om namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar, kön, folkbokföringsort, yrke, datum för utfärdande av examen, specialitet, datum för utfärdande av legitimation respektive bevis om specialistkompetens, förskrivarkod, uppgift om beslut om prövotid, uppgift om beslut om begränsning eller indragning av förskrivningsrätt och uppgift om beslut om återkallelse av legitimation.

Vårt förslag om direktåtkomst för vårdgivare gör det möjligt för Socialstyrelsen att erbjuda direktåtkomst till de vårdgivare som ska använda uppgifterna för att kontrollera legitimerad hälso- och sjukvårdspersonals behörighet i samband med rekrytering eller under löpande anställning. Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Vårdgivare definieras bl.a. i 1 kap. 3 § patientsäkerhetslagen (2010: 659), förkortad PSL, och i PDL. Det innebär att Socialstyrelsen måste ha administrativa rutiner som säkerställer att uppgifter som lämnas ut med denna typ av direktåtkomst endast lämnas till rätt aktör och att någon form av säker teknisk lösning erbjuds de intressenter som uppfyller villkoren i förordningen. Innan sådan direktåtkomst kan medges måste Socialstyrelsen förvissa sig om att den som begär direktåtkomst är en vårdgivare i lagens mening och att syftet är att behandla uppgifterna i enlighet med de ändamål som anges i förordningen. Socialstyrelsen har också möjlighet att ställa generella krav på de vårdgivare som vill ha direktåtkomst, till exempel att de har tekniska förutsättningar att behandla uppgifterna på ett säkert sätt eller att direktåtkomst bara medges de vårdgivare som har omfattande behov av att utföra kontroller mot HOSP-registret.

Vårt förslag gör det inte möjligt för bemanningsföretag att ha direktåtkomst till HOSP-registret, om inte företaget även är vårdgivare. Bemanningsföretagen har, till skillnad från vårdgivarna, ingen skyldighet att kontrollera behörigheten hos de legitimerade yrkesutövarna. Vi bedömer att skyddsbehovet tillgodoses genom

att vårdgivare får möjlighet att göra kontroller direkt mot HOSPregistret. Bemanningsföretagen har även möjlighet att göra enstaka kontroller med hjälp av det begränsade publika registret som föreslås.

Registrera samordningsnummer eller annan liknande identitetsbeteckning?

CeHis och Inera AB har även föreslagit det ska vara möjligt att registrera och söka fram yrkesutövare som ännu inte har svenskt personnummer i HOSP-registret. Vi anser att det är rimligt att samtliga legitimerade yrkesutövare är sökbara och att uppgifterna kan ligga till grund för den viktiga infrastruktur som vårdgivarnas behörighetskatalog utgör. Genom att ändra förordningen så att även annan personidentifikation får registreras blir det möjligt för Socialstyrelsen att registrera även personer utan svenskt personnummer, t.ex. med hjälp av ett samordningsnummer eller andra liknande identitetsbeteckningar.

Är nyttan av ökad tillgänglighet till registret större än risken för att de registrerades integritet kränks?

Den ökade tillgängligheten till uppgifter om de legitimerade yrkesutövarna som föreslås innebär ett visst intrång i de registrerades personliga integritet. Vår sammantagna bedömning är dock att nyttan för vårdgivare av att på ett enkelt, snabbt och säkert sätt ha tillgång till korrekta uppgifter om personalen, den nytta det innebär för patienterna att olämpliga och obehöriga yrkesutövare lättare upptäcks samt nyttan av att endast behöriga användare tar del av patienternas uppgifter, väger tyngre än integritetsintrånget.

Vårt förslag om direktåtkomst för vårdgivare till HOSPregistret innebär inte att det är fritt fram för alla och envar hos en vårdgivare att bereda sig åtkomst till uppgifter om legitimerade yrkesutövare. Varje vårdgivare är personuppgiftsansvarig för sin hantering av uppgifterna och därmed skyldig att begränsa användarnas behörighet till sådana uppgifter de behöver för att kunna utföra sitt arbete. Det kan inte röra sig om något stort antal användare hos varje vårdgivare som kan uppfylla dessa behörighetskrav, utan det bör vara förbehållet de som har anvar för

eller till uppgift att hantera personaladminstrativa frågor. En förutsättning för att direktåtkomst ska vara en tillåten personuppgiftsbehandling för en vårdgivare är dessutom att åtkomsten används för att kontrollera legitimerad yrkesutövares identitet och behörighet under anställning, i samband med rekrytering hos vårdgivaren eller vid intygsutfärdande. Vårdgivare saknar därmed laglig grund för att nyttja direktåtkomsten för andra ändamål än de uppräknade.

Sekretessbrytande bestämmelse gör direktåtkomst möjlig

Enligt 6 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, gäller sekretess i HOSP-registret för uppgift om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Även om sekretesskyddet är svagt och uppgifterna därmed som huvudregel offentliga, går det inte att utesluta att det i enskilda fall kan föreligga sekretess för uppgifterna. Som exempel på det kan nämnas att någon är utsatt för hot om våld eller förföljd. Det torde dock vara väldigt sällsynt att sekretessen i ett enskilt fall bedöms föreligga gentemot en vårdgivare som har att kontrollera yrkesutövarens identitet eller behörighet, t.ex. i samband med rekrytering. Men för att uppgifterna i HOSP-registret, utan hinder av sekretess, ska kunna vara potentiellt tillgängliga genom direktåtkomst för vårdgivare krävs att möjligheten till direktåtkomst kombineras med en bestämmelse som bryter den eventuella sekretessen.

Därför föreslår vi att det i offentlighets- och sekretesslagen (2009:400), förkortad OSL, införs en bestämmelse som gör att sekretess inte hindrar sådant utlämnande genom direktåtkomst som sker enligt förordningen (2006:196) om register över hälso- och sjukvårdspersonal. När vårdgivare väl tar del av uppgifterna har de dock i sin tur att tillämpa de sekretessbestämmelser som gäller i den egna verksamheten. Det innebär att de uppgifter som görs tillgängliga genom direktåtkomst i HOSP-registret hos offentliga vårdgivare framför allt omfattas av sekretess enligt de primära sekretessbestämmelserna i 39 kap. 3 § OSL samt 10 § OSF. Vid direktåtkomst mellan myndigheter finns i och för sig en bestämmelse om överföring av sekretess i 11 kap. 4 § OSL. Av bestämmelsen följer att om en myndighet har elektronisk tillgång

till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Utredningen bedömer emellertid att en tillämpning av 11 kap. 8 § OSL om konkurrens mellan primära och sekundära sekretessbestämmelser får till följd att de primära sekretessbestämmelserna i de offentliga vårdgivarnas personaladministrativa verksamhet ska tillämpas före en överförd sekretess.

För yrkesverksamma hos privata vårdgivare gäller bestämmelser om tystnadsplikt bl.a. enligt 6 kap. 12 § PSL.

6.3.2. Direktåtkomst för Apotekens Service AB

Vårt förslag: Vi föreslår att Socialstyrelsen får ge Apotekens

Service AB direktåtkomst till de uppgifter som behövs i samband med att bolaget behandlar uppgifter i enlighet med ändamålsbestämmelserna i förordningen (2006:196) om register över hälso- och sjukvårdspersonal. De uppgifterna är namn, personnummer, yrke, förskrivarkod, datum för utfärdande av legitimation respektive bevis om specialistkompetens, beslut om begränsning eller indragning av förskrivningsrätt samt beslut om återkallelse av legitimation. För att möjliggöra att direktåtkomsten kan ske utan hinder av sekretess föreslår vi att det införs en sekretessbrytande bestämmelse i OSL som anger att sekretess inte hindrar att uppgifter lämnas ut genom direktåtkomst till Apotekens Service AB enligt vad som anges i förordningen om register över hälso- och sjukvårdspersonal.

Våra överväganden

Läkemedel är en av de mest potenta och därmed också riskfyllda behandlingsmetoderna. För att få expediera ett läkemedelsrecept måste expedierande personal på apoteken veta om det är en behörig förskrivare som utfärdat receptet. Det är viktigt både för patientsäkerheten och för polisiära och samhällsekonomiska aspekter att enbart korrekt förskrivna läkemedel expedieras. För detta syfte lämnar Socialstyrelsen regelbundet ut uppgifter ur HOSP-registret till Apotekens Service AB. Uppgifterna lämnas i syfte att kontrollera identitet och behörighet för förskrivare av läkemedel i samband med bolagets behandling av personuppgifter enligt lagen (2005:258) om läkemedelsförteckning och för samma kontroll vid expedition på öppenvårdsapotek samt enligt lagen om receptregister (1996:1156). De uppgifter som Apotekens Service AB får utlämnade till sig används således av apoteksaktörerna för att kontrollera att den som hämtar ut ett recept på apotek har fått receptet utfärdat av en behörig förskrivare. Dessa behandlingar utgör tillåtna ändamål enligt förordningen. Uppgifterna utlämnas genom dagliga elektroniska leveranser från Socialstyrelsen till Apotekens Service AB. Bolaget får också en gång varje månad CDskivor med listor ur registret på samtliga apotekare och receptarier.

För att stärka patientsäkerheten, möjliggöra ett säkrare utlämnande och även höja kvaliteten på uppgifterna föreslår utredningen att även Apotekens Service AB får ha tillgång till vissa uppgifter ur HOSP-registret genom direktåtkomst. De uppgifterna är bl.a. namn, personnummer, yrke, förskrivarkod och uppgift om beslut om begränsning eller indragning av förskrivningsrätt. Eftersom det redan i dag sker en väldigt omfattande manuell hantering och utlämnande på medium för automatiserad behandling bedömer vi att förslaget inte innebär ökade risker för intrång i de registrerades personliga integritet. Att minska den manuella hanteringen och ADB-utlämnandet kan snarare leda till en ännu säkrare hantering av uppgifterna som även gagnar de registrerades behov av integritetsskydd.

Uppgifter i HOSP-registret omfattas bl.a. av sekretess enligt 6 § OSF. Vår uppfattning är att det inte är ändamålsenligt att upprätthålla ett sekretesskydd gentemot Apotekens Service AB. Detta eftersom Apotekens Service AB är helt beroende av tillgång till uppgifter om samtliga förskrivare för att kunna tillhandahålla den infrastruktur som bl.a. har till syfte att möjliggöra för öppen-

vårdsapoteken att utföra den kontroll de är ålagda att göra vid expediering av recept på apotek. Redan i dag sker dessutom dagliga utlämnanden från HOSP-registret till Apotekens Service AB på medium för automatiserad behandling. För att uppgifterna i HOSP-registret, utan hinder av sekretess, ska vara potentiellt tillgängliga genom direktåtkomst för Apotekens Service AB krävs dock att direktåtkomsten kombineras med en bestämmelse som bryter den eventuella sekretessen. Därför föreslår vi att det införs en sekretessbrytande bestämmelser i OSL som anger att sekretess inte hindrar sådant utlämnande genom direktåtkomst som sker enligt vad som anges i förordningen om register över hälso- och sjukvårdspersonal.

I sammanhanget kan även noteras att uppgifterna, när de hanteras av Apotekens Service AB och i nästa led öppenvårdsapoteken, omfattas av tystnadsplikt enligt lagen (1996:1156) om receptregister respektive enligt PSL. Den föreslagna bestämmelsen innebär således att sekretessen bryts endast mellan Socialstyrelsen och Apotekens Service AB. I övrigt bibehålls skyddet för uppgifterna.

6.3.3. Direktåtkomst för Transportstyrelsen

Vårt förslag: Vi föreslår att Socialstyrelsen får ge Transport-

styrelsen direktåtkomst till uppgifter i HOSP-registret i syfte att kontrollera behörigheten hos den som utfärdat ett synintyg. Socialstyrelsen ska i detta syfte få ge Transportstyrelsen direktåtkomst bl.a. till uppgift om namn, personnummer, folkbokföringsort, yrke, specialitet samt uppgift om legitimationen är återkallad. För att möjliggöra att direktåtkomsten kan ske utan hinder av sekretess föreslår vi att det införs en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400) som anger att sekretess inte hindrar att uppgifter lämnas ut genom direktåtkomst till Transportstyrelsen enligt vad som anges i förordningen om register över hälso- och sjukvårdspersonal.

Våra överväganden

Befogenheten att utfärda olika intyg och utlåtanden är exempel på sådana befogenheter som kan vara knuten till legitimationen att utöva ett yrke inom hälso- och sjukvården. I 5 kap. Socialstyrelsens föreskrifter (SOSFS 2005:29) om utfärdande av intyg inom hälso- och sjukvården m.m. finns exempel på olika typer av intyg som för sin giltighet kräver en viss kompetens.

Av 6 kap. 15 § PSL följer att hälso- och sjukvårdspersonal är skyldig att lämna ut sådana uppgifter som Transportstyrelsen behöver för prövning av någons lämplighet att ha körkort, traktorkort eller taxiförarlegitimation.

Socialstyrelsen lämnar regelbundet ut uppgifter till Transportstyrelsen för att möjliggöra kontroll av att den som utfärdat ett synintyg för körkort är legitimerad optiker. Enligt Transportstyrelsen hanteras omkring 270 000 synintyg per år. Myndigheten vill införa en helt elektronisk handläggning med elektronisk överföring av intyg från optiker. Genom direktåtkomst till HOSP-registret skulle även behörighetskontrollen kunna genomföras elektroniskt med helt uppdaterade uppgifter. Denna kontroll görs i dag genom utlämnande på medium för automatiserad behandling (filöverföring).

För att möjliggöra ett säkrare utlämnande och även höja kvaliteten på uppgifterna som ligger till grund för behörighetskontroll av intyg föreslår vi att Transportstyrelsen får ha direktåtkomst till vissa uppgifter ur HOSP-registret. För Transportsstyrelsens del innebär det att direktåtkomst endast kan komma ifråga för de legitimerade yrkesgrupper som utfärdar de intyg myndigheten har till uppgift att hantera. Även om direktåtkomst är ett särskilt känsligt sätt att lämna ut personuppgifter och innebär risker för integritetsintrång som inte uppstår vid utlämnande på medium för automatiserad behandling bedömer vi att behovet och nyttan av en direktåtkomst i dessa fall är större än integritetsintrånget. Det motiveras bland annat genom att kontrollen av intyg och därmed behandlingen av personuppgifter är reaktiv och sker sedan yrkesutövaren själv vidtagit en intygsskrivande åtgärd. Av integritetsskäl anser vi även att det endast är de uppgifter som är nödvändiga för att kontrollera den intygsskrivandes behörighet som ska få lämnas ut genom direktåtkomst. Omfattningen av direktåtkomsten motsvarar därmed de uppgifter som i dag regelmässigt lämnas ut på medium för automatiserad behandling från Socialstyrelsen till Transportstyrelsen. Det kan heller inte bortses ifrån att dagens

omfattande manuella hantering av personuppgifter i själva verket kan utföras säkrare genom direktåtkomst och därmed även gagna de registrerades personliga integritet.

Uppgifter i HOSP-registret omfattas av sekretess bl.a. enligt 6 § OSF. För att uppgifterna, utan hinder av sekretess, ska vara potentiellt tillgängliga genom direktåtkomst för Transportstyrelsen krävs att möjligheten till direktåtkomst kombineras med en bestämmelse som bryter den eventuella sekretessen. Därför föreslår vi att det införs en sekretessbrytande bestämmelser i OSL som anger att sekretess inte hindrar sådant utlämnande genom direktåtkomst som sker enligt vad som anges i förordningen om register över hälso- och sjukvårdspersonal.

Utredningens bedömning är att de uppgifter i registret som Transportstyrelsen har potentiell tillgång till genom direktåtkomst kommer att omfattas av samma sekretess hos Transportstyrelsen som hos Socialstyrelsen, genom bestämmelsen i 11 kap. 4 § OSL om överföring av sekretess vid direktåtkomst. Av den senare bestämmelsen följer att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Det innebär enligt utredningen att uppgifterna, även hos Transportstyrelsen, omfattas av den grundläggande sekretessbestämmelsen i 6 § OSF för uppgifter om enskilds personliga förhållanden i HOSP-registret.

6.3.4. Ansvar för behörighetsstyrning vid direktåtkomst

Vårt förslag: Som en konsekvens av förslagen om direktåtkomst

för vårdgivare, Apotekens Service AB och Transportsstyrelsen föreslår vi en bestämmelse som tydliggör ansvaret för behörighetsstyrning vid direktåtkomst. Bestämmelsen anger uttryckligen att en personuppgiftsansvarig som medgetts direktåtkomst ansvarar för att behörigheter vid direktåtkomst begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter.

Våra överväganden

Våra förslag om direktåtkomst gör att fler aktörer än i dag kommer att ha potentiell tillgång till uppgifter i HOSP-registret. Att vårdgivare, Apotekens Service AB och Transportstyrelsen ges möjlighet till direktåtkomst innebär dock inte att det är fritt fram för alla och envar hos dessa aktörer att använda direktåtkomsten för att ta del av uppgifter om legitimerade yrkesutövare i HOSPregistret. Varje personuppgiftsansvarig som medges direktåtkomst till HOSP-registret är personuppgiftsansvarig för sin behandling av personuppgifter och har att följa de dataskyddsbestämmelser som reglerar den egna verksamheten. Vidare har Datainspektionen som tillsynsmyndighet alltid möjlighet att kontrollera hur de personuppgiftsansvariga efterlever integritetsskyddslagstiftningen, t.ex. vad gäller personalens behörighet till IT-system som innehåller personuppgifter.

För att förtydliga att de föreslagna möjligheterna till direktåtkomst inte åsidosätter de grundläggande kraven vid behandling av personuppgifter föreslår vi därför en bestämmelse som uttryckligen anger att den personuppgiftsansvarige är skyldig att begränsa användarnas behörighet utifrån vad användarna behöver för att kunna utföra sitt arbete. Utredningens uppfattning är att det t.ex. hos vårdgivare endast kan vara fråga om ett begränsat antal personer som ges möjlighet till direktåtkomst. Det kan exempelvis vara någon vid personalavdelningen, verksamhetschefer med personalansvar eller andra som har till uppgift att för vårdgivarens räkning kontrollera legitimerad hälso- och sjukvårdspersonals identitet och behörighet.

6.4. Undantag från sekretess och sekretessbrytande bestämmelser

Vårt förslag: För att Socialstyrelsen ska kunna göra ett begr-

änsat publikt register tillgängligt behöver vissa lättnader i sekretessen införas. Vi föreslår att uppgifter om legitimerade yrkesutövares namn, födelseår, yrke, specialitet samt datum för utfärdande av legitimation respektive bevis om specialistkompetens generellt undantas från den sekretess som gäller enligt 6 § offentlighets- och sekretessförordningen (2009:641). För att

möjliggöra direktåtkomst för offentliga och privata vårdgivare, Apotekens Service AB samt Transportstyrelsen föreslår vi att det införs en sekretessbrytande bestämmelse i 22 kap. offentlighets- och sekretesslagen (2009:600) som anger att sekretess inte hindrar att uppgifter lämnas ut genom direktåtkomst enligt vad som föreskrivs om direktåtkomst för dessa aktörer i förordningen (2006:196) om register över hälso- och sjukvårdspersonal.

Våra överväganden

De sekretessbestämmelser som gäller till skydd för uppgifterna i HOSP-registret kan kräva att det i det enskilda fallet görs en sekretessprövning innan uppgifter får lämnas ut ur registret. Bestämmelserna till skydd för dessa uppgifter finns bl.a. i 6 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, som utfärdats med stöd av 22 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt möjligen i 21 kap. 3 § OSL. Vid ett rakt kvalificerat skaderekvisit, som i de bestämmelser som gäller för HOSP-registret, är presumtionen att typiskt sett harmlösa uppgifter kan lämnas ut utan någon närmare skadebedömning i det enskilda fallet. En närmare skadebedömning behöver vid tillämpning av ett sådant skaderekvisit – beträffande normalt sett harmlösa uppgifter – bara göras om det finns särskild anledning till det.5 En sådan särskild anledning kan vara att den enskilde fått en sekretessmarkering eller annat skydd för sina personuppgifter inom folkbokföringen. För att en sådan uppgift ska beaktas måste den dock komma till myndighetens kännedom. Personalen inom myndigheten behöver inte efterforska om personuppgiften på något sätt är skyddad om inte detta framförts till myndigheten.6 Utgångspunkten är nämligen att uppgiften är offentlig.

Ändå måste beaktas att uppgifterna i registret omfattas av sekretessbestämmelser. Det kan därför inte helt uteslutas att till exempel uppgift om folkbokföringsort eller andra administrativa uppgifter som ger vägledning om var den enskilde uppehåller sig bedöms vara sekretessbelagda i ett enskilt fall, exempelvis rörande en enskild som är utsatt för hot och våld. Inte heller har de bestäm-

5Prop. 1979/80:2 Del A s. 80 f. 6SOU 2003:99, Ny sekretesslag, s. 448.

melser om direktåtkomst som föreslås en sekretessbrytande effekt i sig. För att direktåtkomst för allmänhet, offentliga och privata vårdgivare, Apotekens Service AB samt Transportstyrelsen ska vara möjligt måste därför bestämmelser som bryter eller undantar sekretessen införas.

Utredningen anser att de uppgifter vi föreslår ska få göras tillgängliga i det begränsade publika registret är harmlösa och uteslutande relaterade till den enskildes yrkesutövning. Enligt vår bedömning är det fråga om sådana grundläggande uppgifter som typiskt sett kan lämnas ut utan att den enskilde lider men av utlämnandet. För att möjliggöra det begränsade publika register vi föreslår krävs dock att sekretessen för just de aktuella uppgifterna bryts. Vi föreslår därför att det i OSF tas in en bestämmelse som innebär att sekretess i Socialstyrelsens register över hälso- och sjukvårdspersonal inte gäller för uppgift om namn, födelseår, yrke, specialitet samt datum för utfärdande av legitimation respektive bevis om specialistkompetens. En sådan bestämmelse medför att Socialstyrelsen inte behöver göra någon prövning i det enskilda fallet innan dessa uppgifter lämnas ut. För övriga uppgifter i HOSP-registret bör dock sekretesskyddet bibehållas. Frågan har vidare behandlats i avsnitt 6.2.1.

För den direktåtkomst till uppgifter i registret som föreslås i förhållande till offentliga och privata vårdgivare, Apotekens Service AB samt Transportstyrelsen krävs en annan lösning för att bryta sekretessen.

Sekretessbrytande regler som gäller i förhållande till svenska myndigheter kan införas i OSL eller i lag eller förordning som OSL hänvisar till (8 kap. 1 § OSL). Någon hänvisning till den lag eller förordning som innehåller en sekretessbrytande bestämmelser behöver dock inte tas in i OSL, om bestämmelsen i fråga utformas som en uppgiftsskyldighet (se 10 kap. 28 § första stycket OSL). Det innebär bl.a. att det i förordningen om register över hälso- och sjukvårdspersonal är möjligt att föreskriva om en uppgiftsskyldighet för Socialstyrelsen gentemot viss myndighet.

Någon bestämmelse som motsvarar 8 kap. 1 § och 10 kap. 28 § första stycket OSL finns inte beträffande uppgiftsutlämnande till enskilda. Sekretessbrytande regler som gäller i förhållande till enskilda rättssubjekt kan tas in i andra lagar än OSL eller i en förordning, men då måste en hänvisning till den lagen eller förordningen tas in i OSL.

En följd av ovanstående är att det inte är möjligt att i förordningen om register över hälso- och sjukvårdspersonal föreskriva om uppgiftsskyldighet för Socialstyrelsen gentemot enskilda rättssubjekt som privata vårdgivare och Apotekens Service AB. Den möjligheten finns endast för utlämnande till Transportstyrelsen och offentliga vårdgivare. Det skulle således vara möjligt att föreslå sekretessbrytande bestämmelser dels i OSL till förmån för privata vårdgivare, Apotekens Service AB och andra enskilda, dels i form av uppgiftsskyldighet i förordningen om register över hälso- och sjukvårdspersonal till förmån för offentliga vårdgivare och Transportsstyrelsen.

Utredningens uppfattning är emellertid att det vore olyckligt med en lösning där de sekretessbrytande bestämmelserna konstrueras på olika sätt och sprids på flera författningar. Vi föreslår istället att det införs en generell sekretessbrytande bestämmelse i OSL som slår fast att sekretess inte hindrar sådant utlämnande genom direktåtkomst som föreskrivs i förordningen om register över hälso- och sjukvårdspersonal. Utredningen anser att bestämmelsen bör placeras i 22 kap. OSL eftersom den grundläggande bestämmelsen om sekretess för uppgifter i HOSP-registret är utfärdad med stöd av 22 kap. 1 § OSL.

Vi bedömer vidare, som redovisats i avsnitt 6.3.1–6.3.3, att de aktuella uppgifterna kommer att ha ett sekretesskydd hos den mottagande myndigheten och att de hos enskilda omfattas av tystnadsplikt.

6.5. Förslag om ändringar i befintlig förordning m.m.

Vårt förslag: Vi föreslår att det införs en ny bestämmelse som

uttryckligen anger att det är Socialstyrelsen som är personuppgiftsansvarig för registret. Vi föreslår vidare att det i samma bestämmelse tydliggörs att den som genom direktåtkomst tar del av uppgifter i HOSP-registret är personuppgiftsansvarig för sin egen behandling av personuppgifterna. Vi anser att de ändringar som utredningen föreslår kan göras i befintlig förordning (2006:196) om register över hälso- och sjukvårdspersonal. Ändringarna ska träda i kraft den 1 januari 2013.

Våra överväganden

I moderna registerförfattningar anges alltid vem som är personuppgiftsansvarig för registret. Vi föreslår därför att en sådan bestämmelse införs i förordningen. Vidare föreslår vi att det i samma bestämmelse tydliggörs att den som bereder sig direktåtkomst till uppgifter i HOSP-registret är personuppgiftsansvarig för sin egen behandling av personuppgifterna.

Enligt 2 kap. 6 § regeringsformen ska var och en vara skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar ska dock kunna göras i lag.

Yrkeslegitimationerna inom hälso- och sjukvården syftar till att offentligt deklarera att yrkesutövaren har rätt kompetens för sitt arbete. Legitimation för yrke inom hälso- och sjukvården innebär att den legitimerade har godkänts för att utöva vissa arbetsuppgifter under ett särskilt yrkesansvar. Flera intressenter har behov och intresse av att enkelt kunna ta reda på om dessa förhållanden föreligger. En uppgift om att en viss person har eller inte har legitimation för ett visst yrke varken kan eller får hemlighållas.

I förarbetena7 uttalas bl.a. att det vid bedömningen av hur ingripande integritetsintrånget kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden, är naturligt att lägga stor vikt vid uppgifternas karaktär. HOSP-registret innehåller uppgifter om ett stort antal personer. Uppgifterna ger information om den enskildes yrke och behörighet, datum för meddelande av legitimation och beslut om återkallelse av legitimation m.m. Enligt vår uppfattning kommer våra förslag till ändringar i förordningen inte att innefatta ett så stort ingrepp i enskildas privatliv att det kan anses utgöra ett betydande intrång i den personliga integriteten i den mening som avses i den nya grundlagsbestämmelsen. Registret kan därmed även fortsättningsvis regleras i författning på lägre normhierarkisk nivå än lag. Utredningen anser därför att de ändringar som vi föreslår kan göras i den befintliga förordningen.

Vi föreslår att ändringarna i förordningen träder i kraft den 1 januari 2013.

7 Regeringens proposition En reformerad grundlag, prop. 2009/10:80.

7. Konsekvenser av våra förslag

Enligt kommittéförordningen (1998:1474) ska det i ett betänkande som innehåller nya eller ändrade regler också anges konsekvenser av dessa. Förordningen föreskriver att en sådan konsekvensanalys ska genomföras om förslagen har betydelse för den kommunala självstyrelsen, för brottsligheten, för sysselsättningen och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

Utredningar som lägger fram förslag som förutsätter behandling av personuppgifter bör särskilt uppmärksamma konsekvenserna från integritetsskyddssynpunkt för den som personuppgifterna avser. Utredningen har haft i uppdrag att just analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst tillhandahålla vissa personuppgifter rörande legitimerad hälso- och sjukvårdspersonal. Hela utredningsarbetet har genomsyrats av överväganden rörande de registrerades personliga integritet. Någon särskild konsekvensbeskrivning avseende skyddet för den personliga integriteten görs därför inte här utan vi hänvisar till våra överväganden som redovisas i kapitel 6.

I detta kapitel redogörs i korthet för utredningens konsekvensbedömning vad gäller ekonomiska konsekvenser och konsekvenser för små företag med mera.

7.1. Berörda av regleringen

Utredningen föreslår ändringar i en befintlig förordning. Förordningen (2006:196) om register över legitimerad hälso- och sjukvårdspersonal reglerar att Socialstyrelsen ska föra ett sådant register och hur personuppgifterna får användas. Våra förslag

innebär en ökad tillgänglighet till uppgifterna i registret som är anpassad till de olika intressenternas behov. Utöver Socialstyrelsen berörs följande användare av uppgifter i registret av förslaget; allmänheten, vårdgivare (såväl privata som offentliga), Apotekens Service AB och Transportstyrelsen.

7.2. Ekonomiska konsekvenser

Vårt förslag innebär en möjlighet för Socialstyrelsen att på frivillig väg erbjuda vissa aktörer direktåtkomst till uppgifter i registret över legitimerad hälso- och sjukvårdspersonal (HOSP-registret). Socialstyrelsen har framfört önskemål om att få möjlighet att erbjuda direktåtkomst för allmänheten genom att tillgängliggöra uppgifter ur registret på internet. Myndigheten anser att det vore av värde att kunna erbjuda en ökad tillgång till uppgifter ur registret och att detta skulle förbättra effektiviteten och servicen mot tredje man samt att informationsutbytet mellan de nordiska länderna och övriga EES-länderna skulle underlättas. Socialstyrelsen bedömer att en webbpublicering skulle sänka förvaltningskostnaderna jämfört med i dag. Utredningen gör bedömningen att om Socialstyrelsen väljer att erbjuda direktåtkomst för allmänheten kommer det inledningsvis att innebära vissa kostnader som är förknippade med att utforma tekniska lösningar för att kunna tillgängliggöra uppgifter på ett säkert sätt. Vi delar dock bedömningen att en enklare tillgång till uppgifterna på sikt kommer att minska administrationskostnaderna för Socialstyrelsen.

När det gäller förslagen om direktåtkomst för vårdgivare, Apotekens Service AB och för Transportstyrelsen innebär förslagen möjligheter för aktörerna att effektivisera sin behandling av uppgifter ur registret. Transportstyrelsen, som hanterar 274 000 synintyg per år, har uppgivit att direktåtkomst skulle leda till kortare handläggningstider, minskad pappersanvändning och minskade kostnader. Utredningen gör bedömningen att Apotekens Service AB också kommer att kunna effektivisera sin behörighetskontroll genom direktåtkomst. När det gäller vårdgivarnas direktåtkomst har CeHis och Inera AB uppgivit att direktåtkomst till HOSP-registret är en förutsättning för att HSA-katalogen vid varje tidpunkt ska ha korrekt information om hälso- och sjukvårdspersonalens behörighet. Utredningen gör bedömningen att förslagen kommer att leda till ökad effektivitet och säkerhet vid

behandling av uppgifter ur registret och därmed också på sikt minskade kostnader för dessa intressenter. När det gäller vårdgivare är effektivitetsvinsten sannolikt beroende av hur omfattande verksamhet som bedrivs, se avsnitt 7.3.

Det övergripande syftet med att öka tillgången till uppgifterna i registret är att underlätta kontrollen av hälso- och sjukvårdspersonalens behörighet. Syftet är alltså att öka patientsäkerheten. En säkrare vård innebär minskade kostnader för samhället och ökad trygghet för patienterna.

7.3. Konsekvenser för små företags villkor

Vårt förslag innebär att Socialstyrelsen får lämna ut vissa grundläggande uppgifter om hälso- och sjukvårdspersonalens behörighet genom direktåtkomst till allmänheten. En sådan direktåtkomst kommer att göra det möjligt för den enskilde att själv kontrollera behörigheten hos de yrkesutövare som han eller hon har för avsikt att söka hjälp hos. Många legitimerade yrkesgrupper inom hälso- och sjukvården bedriver sin verksamhet i egna företag, till exempel, optiker, psykoterapeuter och kiropraktorer. För dessa vårdgivare kan en enklare tillgång till information om den behörighet som särskiljer dem från andra yrkesgrupper innebära en konkurrensfördel.

Vårt förslag om att Socialstyrelsen får erbjuda vårdgivare direktåtkomst till uppgifter i registret berör även små vårdföretag. Vårdgivare har oavsett omfattning i verksamheten ansvar för att verksamheten bedrivs på ett säkert sätt av yrkesutövare med rätt kompetens. Utredningen gör dock bedömningen att mindre vårdgivare inte har samma behov av direktåtkomst till HOSPregistret som större. De företag som har få anställda och få rekryteringar får sannolikt inga större effektivitetsvinster av att ta del av uppgifter om enskilda yrkesutövares behörighet genom direktåtkomst. Däremot kan en direktåtkomst för att kontinuerligt hålla små företags HSA-kataloger uppdaterade ha positiva effekter till exempel för företagens anslutning till de nationella e-hälsotjänster där HSA-katalogen och SITHS är en förutsättning för nyttjande av tjänsten.

7.4. Andra konsekvenser

Utredningen gör bedömningen att våra förslag inte har några konsekvenser när det gäller den kommunala självstyrelsen, brottsligheten och det brottsförebyggande arbetet, sysselsättning och offentlig service i olika delar av landet, jämställdheten mellan kvinnor och män eller möjligheten att nå de integrationspolitiska målen.

Kommittédirektiv

Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.

Dir. 2011:111

Beslut vid regeringssammanträde den 15 december 2011

Sammanfattning

En särskild utredare ska utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredaren ska bl.a.

  • efter en avvägning mellan verksamheternas behov av information och skyddet för den enskildes personliga integritet, kartlägga vilken typ av information som bedöms vara nödvändig att behandla genom t.ex. utlämnande genom direktåtkomst.
  • identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) för en sådan informationshantering som finns i dag och i förekommande fall i vilka lagar dessa hinder finns.
  • med utgångspunkt från kartläggningen och de identifierade förutsättningarna och hindren föreslå sådana lagstiftningsåtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter för den aktuella behandlingen inom eller över både organisatoriska och nationella gränser.

Uppdraget ska redovisas i ett delbetänkande senast den 31 mars 2012 och resterande delar av uppdraget i ett slutbetänkande senast den 1 december 2013.

Utgångspunkter för uppdraget

Tillgång till personuppgifter är en förutsättning för att enskilda ska få säkra insatser av hög kvalitet

Människor i Sverige lever allt längre samtidigt som behovet av vård, omsorg och service ökar för många grupper. Hälso- och sjukvården och socialtjänsten är två mycket informationsintensiva sektorer. För att möta de utmaningar som hälso- och sjukvården och socialtjänsten står inför krävs dels samlade och koordinerade insatser, dels en utvecklad och mer kontinuerlig uppföljning av de insatser som ges. Stora strukturförändringar har skett inom hälso- och sjukvården och socialtjänsten de senaste åren. Reformer om bl.a. fritt vårdval och omreglering av apoteksmarknaden har lett till många nya vårdmottagningar, vårdcentraler och apotek där verksamheten i allt större utsträckning utförs av privata aktörer. Även inom socialtjänsten har andelen enskilda utförare ökat, bl.a. som en följd av lagen om valfrihet.

Sverige har kommit långt när det gäller användning av it-system som stöd i den dagliga verksamheten och för utveckling samt när det gäller säkerhet och behörighet. Staten och huvudmännen har gjort stora investeringar för att skapa goda grundförutsättningar för en mer ändamålsenlig informationshantering. Satsningar har gjorts och görs på exempelvis it-infrastruktur, säkerhetslösningar och för att införa en nationell informationsstruktur och ett nationellt fackspråk. Vidare håller man nu på att införa bl.a. nationell patientöversikt, sammanhållna journalsystem och elektroniska beslutsstöd inom hela vård- och omsorgssektorn. Den tekniska utvecklingen har varit omfattande och tekniken skapar många nya möjligheter.

Den hälso- och sjukvård som landstingen och kommunerna ger samt de insatser inom socialtjänsten som kommunerna ger kräver fortlöpande samarbete i individuella vård- och omsorgssituationer. Tillgång till och behandling av personuppgifter inom och mellan myndigheter, landsting och kommuner samt privata verksamheter behöver begränsas till att gälla vissa situationer. Det kan bl.a. med hänsyn till den enskildes integritet inte bli fråga om att informationen ska flöda fullständigt fritt. De fördelar som ett utlämnande av eller tillgång till uppgifter får för den enskilde eller för personal eller beslutsfattare vid myndigheter, landsting och kommuner samt

privata verksamheter måste alltid vägas mot de nackdelar som kan uppkomma.

Även efter en elektronisk överföring av uppgifter ska det finnas ett tillfredsställande sekretesskydd för informationen och ett motsvarande skydd för den personliga integriteten när den mottagande instansen behandlar uppgifterna.

Lagstiftning till skydd för den personliga integriteten

Frågan om myndigheters behandling av personuppgifter på automatiserad väg innefattar avvägningar mellan skyddet för den personliga integriteten å ena sidan och viktiga samhällsintressen å den andra. I regeringsformen (1974:152), (förkortad RF), anges bl.a. att det allmänna ska värna om den enskildes privatliv och familjeliv (1 kap. 2 § fjärde stycket RF). Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Denna fri- och rättighet kan under vissa förutsättningar begränsas genom lag (2 kap. 20–21 §§ RF).

Den europeiska konventionen om skydd för de mänskliga rättigheterna och grundläggande friheterna, förkortad EKMR, som har inkorporerats i svensk rätt innehåller bestämmelser till skydd för den enskildes rätt till respekt för privat- och familjelivet (art. 8.1 EKMR). Vidare följer av Europeiska unionens stadga om de grundläggande rättigheterna, förkortad EU-stadgan, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7 EU-stadgan) och att var och en har rätt till skydd av de personuppgifter som rör honom eller henne och att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund samt att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artikel 8 EU-stadgan).

EU-stadgan är en del av unionsrätten som även innehåller bestämmelser om behandlingen av personuppgifter i Europa-parlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivets regler har i svensk rätt genomförts bl.a. genom personuppgiftslagen (1998:204). Personuppgiftslagen,

förkortad PUL, är generellt tillämplig vid behandling av personuppgifter. Lagen är dock subsidiär i förhållande till avvikande bestämmelser i annan lag eller förordning (2 § PUL). Sådana avvikande bestämmelser måste dock vara förenliga med direktivet på dess tillämpningsområde.

Behandlingen av personuppgifter inom hälso- och sjukvården och socialtjänsten regleras också av särskilda s.k. registerlagar, patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Socialtjänstlagen (2001:453) innehåller särskilda regler om bl.a. behandling och gallring inom socialtjänsten.

Offentlighetsprincipen innebär att myndigheternas verksamhet ska bedrivas under insyn av allmänheten. I 2 kap. RF fastslås var och ens grundläggande fri- och rättigheter, bl.a. yttrandefrihet och informationsfrihet (2 kap. 1 § RF). När det gäller rätten att ta del av allmänna handlingar, den s.k. handlingsoffentligheten, hänvisar RF till tryckfrihetsförordningen, förkortad TF. Av TF följer att var och en har rätt att ta del av allmänna handlingar om inte denna rättighet begränsats genom bestämmelser i en särskild lag eller i lag vartill den särskilda lagen hänvisar (2 kap. 1 och 2 §§, jfr. 14 kap. 5 § TF). Rätten att få ta del av allmänna handlingar får begränsas med hänsyn till bl.a. skyddet för enskilds personliga eller ekonomiska förhållanden (2 kap. 2 § första stycket 6 TF). Offentlighets- och sekretesslagen (2009:400), förkortad OSL, innehåller begränsningar av rätten att ta del av allmänna handlingar. Begränsningar kan även finnas i andra lagar som OSL hänvisar till.

Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således en inskränkning av både rätten att ta del av allmänna handlingar och yttrandefriheten. Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap 1 § OSL). Det finns dock bestämmelser som bryter sekretessen. Exempelvis hindrar inte sekretessen att uppgifter lämnas mellan olika hälso- och sjukvårdsmyndigheter inom en kommun eller landsting och mellan allmänna och enskilda vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (25 kap. 11 § 3 OSL). Om den enskilde p.g.a. av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekr-

etessen inte heller att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL).

I fråga om socialtjänsten finns de relevanta bestämmelserna om sekretess i 26 kap. OSL. Beträffande uppgifter som förekommer i sådan verksamhet saknas dock sekretessbrytande bestämmelser motsvarande de som angetts i det föregående.

När det gäller skyddet för uppgifter som förekommer inom hälso- och sjukvård som bedrivs av enskilda näringsidkare får den som tillhör eller har tillhört sådan verksamhet inte obehörigen röja vad han eller hon i denna verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 12 § patientsäkerhetslagen 2010:659). Motsvarande tystnadsplikt gäller i enskilt bedriven verksamhet enligt socialtjänstlagen (2001:453) för uppgift om enskildas personliga förhållanden (15 kap 1 §).

Problembeskrivning

Lagstiftningen behöver medge ökad tillgång till nödvändiga personuppgifter på individnivå med bibehållet skydd för den enskildes integritet

En enskild som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter allt fler vårdgivare, utförare inom socialtjänsten etc., både nationellt och internationellt. Med nuvarande lagstiftning innebär fler aktörer fler gränser mellan aktörer, vilket kan skapa juridiska och andra hinder för tillgång till personuppgifter. Vidare kan nuvarande lagstiftning, som Riksrevisionen uppmärksammat (RiR 2011:19), inom hälso- och sjukvården leda till att förutsättningarna för en ändamålsenlig informationshantering varierar mellan landsting med få respektive många privata vårdgivare.

Den enskilde ska inte riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett

bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar som exempelvis tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete med övriga stödfunktioner, personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.

Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskrivning på recept som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmacevtisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver negativa konsekvenser för den enskilde kan brister i möjligheter att samverka och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.

Vidare finns det behov av att kunna utbyta personuppgifter mellan länder både när det gäller vårdinsatser och läkemedel. Svenska medborgare kan t.ex. behöva söka vård när de är utomlands eller ha möjlighet att hämta ut recept som förskrivits i Sverige. Samtidigt är förstås den nationella lagstiftningen specifik för Sverige. Det finns därför skäl att utreda vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder. Utredaren bör beakta det pågående projektet Smart Open Services for European Patients (epSOS), som är ett pilotprojekt för gränsöverskridande vårdtjänster. Syftet är att möjliggöra elektronisk överföring av recept och patientöversikter mellan länder i Europa. För närvarande deltar 23 europeiska länder i projektet.

Informationshantering på övergripande nivå

Myndigheter på central, regional och lokal nivå gör i dag omfattande satsningar på exempelvis informationshantering, insamling av data, öppna jämförelser och statistik för att kunna utveckla verksamheter, informera eller jämföra. Följaktligen samlar många idag in stora mängder av olika sorters information för många ändamål.

Det behöver göras en analys av vilken information som myndigheter, landsting, kommuner eller privata verksamheter inom hälso- och sjukvården samt enskilda verksamheter inom socialtjänsten behöver för de relevanta ändamålen.

Ett sådant informationsutbyte som beskrivs ovan kan bara fungera om alla inblandade aktörer har säkerhets- och behörighetslösningar som ser till att behörig personal och beslutsfattare enbart har tillgång till för dem relevanta uppgifter. Det är också angeläget att skyddet för den enskildes integritet blir starkare ju fler som har tillgång till uppgifter om den enskilde, t.ex. genom att uppgifter kodas eller avidentifieras. En viktig förutsättning för ett fullgott integritetsskydd är tydlighet i fråga om personuppgiftsansvaret, som bl.a. innebär ett skadeståndsansvar gentemot individen. När det gäller exempelvis informations-, spärr- och samtyckesfrågor i förhållande till individer måste personuppgiftsansvaret därför vara tydligt. Personuppgiftsansvaret måste också vara tydligt med avseende på it-säkerhet inklusive organisatoriska och tekniska åtgärder, såväl på nationell nivå som i enskilda verksamheter.

Behov av ökade befogenheter för Datainspektionen

Datainspektionen saknar för närvarande möjlighet att t.ex. vid vite förelägga en vårdgivare att ge information till patienten. Det finns därför skäl att utreda om Datainspektionen behöver ytterligare befogenheter för att kunna förhindra att behandling av personuppgifter inleds eller fortsätter i strid med gällande författningsreglering.

Lagstiftningen behöver medge förbättrad tillgång till personuppgifter för fler ändamål

Personal och beslutsfattare inom hälso- och sjukvård och socialtjänst bör få använda uppgifter i olika stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig direkt till enskilda. Även tillsynsmyndigheter och nationella myndigheter som arbetar med exempelvis öppna jämförelser måste få ha tillgång till uppgifter. Syftet är att förbättra kvalitet och säkerhet i insatserna för den enskilda individen.

Relevant lagstiftning måste reglera ändamål med personuppgiftshantering som främjar en effektiv och ständigt pågående förbättringsprocess inom hälso- och sjukvården respektive socialtjänsten med hänsyn tagen till den enskildes integritet. Regleringen av ändamålen med personuppgiftsbehandling i de lagar som styr hälso- och sjukvården och verksamheter inom socialtjänsten bör mot denna bakgrund vara överensstämmande.

De personuppgifter som här är aktuella finns på flera ställen hos privata aktörer, landsting och kommuner men också statliga aktörer som t.ex. Rättsmedicinalverket, Kriminalvården och Försvarsmakten som bedriver hälso- och sjukvård. Uppgifterna lagras och tillgängliggörs på flera ställen, bl.a. i patientjournal, dokumentation enligt socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, i läkemedelsförteckning, receptregister, hälsodataregister, nationella kvalitetsregister etc. och används av många personalkategorier. Det primära är dock inte var personuppgifterna finns utan i vilken vård- och omsorgssituation kring en enskild som uppgifterna behövs.

Ett flertal lagar och andra regler styr hur dessa uppgifter kan och får samlas in, behandlas och överföras, exempelvis patientdatalagen, lagen (2005:258) om läkemedelsförteckning, lagen (1996:1156) om receptregister, apoteksdatalagen (2009:367), socialtjänstlagen, lagen om personuppgiftsbehandling inom socialtjänsten, personuppgiftslagen och offentlighets- och sekretesslagen.

Om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat. Vidare bör uppgifter i läkemedelsregistret hos Socialstyrelsen kunna användas för uppföljning och kvalitetssäkring. Det förutsätter att

ändamålen för behandling av personuppgifter i läkemedelsregistret anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen (1998:543) om hälsodataregister

Hur kan tillgång till personuppgifter vid verksamhetsövergång säkerställas?

Vid byte av driftsform eller byte av utförare t.ex. efter upphandling eller vid konkurs eller om en privat vårdgivare eller enskild verksamhet inom socialtjänsten av annat skäl avvecklar verksamheten, finns det anledning att säkerställa att personuppgifter hanteras på ett säkert sätt. Vidare bör säkerställas att informationen, om möjligt, på något sätt förs vidare till ny vårdgivare eller utförare. Den omständigheten att en privat vårdgivare eller enskild verksamhet inom socialtjänsten överlämnar sina handlingar till ett landsting eller en kommuns socialnämnd innebär att handlingarna blir inkomna till myndigheten och därmed allmänna i tryckfrihetsförordningens mening. Handlingarna omfattas i och med detta av de olika bestämmelser som gäller för hanteringen av allmänna handlingar, t.ex. offentlighetsprincipen, sekretess och arkivering.

En vårdgivare ska fortsätta att ansvara för sina patientjournaler även efter att verksamheten har upphört. Stora verksamheter bedöms som regel ha kapacitet och resurser att fortsätta att förvara och arkivera patientjournalerna i enlighet med gällande lagstiftning. I undantagsfall kan ansökan om omhändertagande av patientjournaler göras hos Socialstyrelsen enligt. 9 kap. patientdatalagen (jfr 7 kap. 5 § socialtjänstlagen). Det förekommer när mindre enskilda vårdföretag läggs ner eller när verksamheter går i konkurs, men inte i samband med verksamhetsövergångar eller nya upphandlingar.

Det finns anledning att utreda hur personuppgifter hanteras vid verksamhetsövergång m.m. Detta bör även omfatta hur en ny verksamhetsansvarig får tillgång till de uppgifter som behövs för att bl.a. säkerställa en god vård och omsorg. Det bör vidare utredas om det ska krävas samtycke från varje enskild patient eller klient inom socialtjänsten eller om detta ska tillgodoses genom bestämmelser som bryter tystnadsplikten.

Vidare behöver frågan om bevarande och gallring utredas, t.ex. om landstingen måste behålla handlingar som överlämnats och i så fall på vilket sätt gallring ska ske.

Det finns tillämpningsproblem med nuvarande lagstiftning

Datainspektionen har i granskningar, bl.a. av Nationell patientöversikt (NPÖ) och av nationella kvalitetsregister riktat kritik mot hur nuvarande lagstiftning tillämpas. Med nationella kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Datainspektionens kritik har när det gäller kvalitetsregister avsett brister som ofullständig information till patienterna, otillräcklig säkerhet när användarna tar del av uppgifterna via internet, felaktig användning av uppgifterna, utebliven gallring av uppgifter och otydlig ansvarsfördelning inom organisationer. När det gäller NPÖ har kritiken bl.a. avsett att uppgifter tillgängliggjorts för andra vårdgivare innan patienter informerats, att rutiner för inhämtning av samtycke från beslutsoförmögna inte varit tillräckliga samt att det i vissa fall saknats möjligheter att begränsa användarnas behörigheter till vad som behövs med hänsyn till varje användares behov. Datainspektionen har också konstaterat att vårdgivare i stor utsträckning lämnar ut uppgifter till kvalitetsregister utan att veta vem som tar emot patienternas uppgifter och ansvarar för den fortsatta hanteringen, vilket strider mot bestämmelser om sekretess och grundläggande krav i personuppgiftslagen. Även Socialstyrelsen har i tillsynsrapporter uppmärksammat bristande rutiner för informationsöverföring, mellan exempelvis sjukhus och primärvård.

Patientdatalagen ger vårdgivare möjlighet att på ett säkert sätt lämna ut relevant patientinformation i olika situationer. Det kan exempelvis avse utlämnande till andra vårdgivare inom ramen för sammanhållen journalföring. Vårdgivare har också möjlighet att lämna ut patientuppgifter på it-medium till mottagare och verksamheter som inte är specificerade på förhand, men det bör kartläggas i vilken utsträckning vårdgivare har system eller teknik för detta. Vidare måste den teknik och de system som utvecklas, och som bl.a. anges som krav när privata vårdgivare eller enskilda utförare ingår avtal med landsting eller kommuner, uppfylla de krav som anges i lagstiftningen.

Inom socialtjänsten hanteras en mängd mycket integritetskänslig information för olika syften. Det är rimligt att det finns ett samspel och en balans mellan frågor om vilka uppgifter man behöver för att ge god vård och omsorg. Detta är särskilt viktigt i de situationer där

hälso- och sjukvårdens och socialtjänstens verksamheter behöver eller önskar samverka m.m. i exempelvis tvärprofessionella team.

Datainspektionen har i sitt yttrande över Socialtjänstdatautredningens betänkande Socialtjänsten – Integritet – effektivitet (SOU 2009:32) välkomnat att personuppgiftsbehandlingen inom socialtjänsten ges en noggrannare författningsreglering än idag. Den nuvarande regleringen består av lagen och förordningen om behandling av personuppgifter inom socialtjänsten.

Det finns behov av att se över och analysera vari tillämpningsproblemen ligger och hur dessa skulle kunna lösas. Inom ramen för en sådan översyn kan det finnas behov av att förtydliga eller förändra relevant lagstiftning. Det kan också behöva utredas vilka behov som finns av exempelvis information, utbildning eller kompetenshöjande insatser av olika slag om vad den berörda lagstiftningen innebär samt överväga andra åtgärder än lagändringar.

Särskilt om sekretess och personuppgiftsbehandling när det gäller beslutsoförmögna personer

Behandling av personuppgifter enligt patientdatalagen förutsätter som huvudregel dels att patienten inte motsatt sig ett tillgängliggörande av uppgifter till andra vårdgivare, dels att patienten samtycker vid varje tillfälle en personuppgiftsbehandling sker (6 kap.2 och 3 §§patientdatalagen). Undantag från kravet på samtycke finns dock i vissa situationer om det är fara för patientens liv eller det annars finns allvarlig risk för dennes hälsa (6 kap. 4 § patientdatalagen). Vidare får inte personuppgifter behandlas i ett nationellt eller ett regionalt kvalitetsregister om den enskilde motsätter sig detta (7 kap. 2 § patientdatalagen).

Dessa förutsättningar för behandling av personuppgifter kan i vissa fall skapa problem i vårdsituationer och i utvecklingen och säkringen av vårdens kvalitet när den som ska lämna samtycke eller motsätta sig behandling av olika skäl saknar förmåga att fatta ett beslut. Detta kan gälla exempelvis äldre personer med demenssjukdom, strokepatienter eller personer med allvarlig psykisk ohälsa. En stor del av dessa individer rör sig i dag inom och mellan hälso- och sjukvård och socialtjänst. I dessa fall finns en risk för att vården i avsaknad av samtycke får en sämre kvalitet eftersom vårdgivare inte får tillgång till den information som de behöver. Som framgått i det föregående finns det bestämmelser som i

avsaknad av patientens samtycke bryter sekretessen inom hälso- och sjukvården (25 kap. 11 och 13 §§ OSL). Motsvarande bestämmelser saknas för socialtjänstens del.

Mot bakgrund av hur de nu aktuella patientgrupperna rör sig inom och mellan olika sektorer inom vården och omsorgen kan avsaknaden av sekretessbrytande bestämmelser i dessa avseenden medföra en försämrad kvalitet i vården och omsorgen. Det kan därför finnas skäl att i det kapitel i OSL som reglerar sekretess till skydd för enskild inom socialtjänsten (26 kap. OSL) införa motsvarande sekretessbrytande bestämmelser för socialtjänstens del som finns för uppgifter inom hälso- och sjukvården. Utredningen behöver analysera om det finns behov av sådana bestämmelser och i så fall hur sådana ska utformas.

Sekretessbrytande bestämmelser är dock inte tillräckligt för att skapa ett effektivt informationsflöde enligt patientdatalagen för dessa personkategorier. Det finns nämligen inga särregler för beslutsoförmögna personer i patientdatalagen vilket gör att kravet på informerat och uttryckligt samtycke formellt gäller även för denna grupp (jfr Datainspektionens samrådsyttrande den 16 september 2011, dnr 708-2011 och beslut den 29 juni 2010, dnr 1392-2009.). Det bör därför utredas om det är lämpligt att beträffande personer i dessa situationer införa undantag från kravet på samtycke i patientdatalagen så att uppgifter om sådana personer kan behandlas i sammanhållen journalföring m.m. trots att personerna i fråga inte har förmåga att motsätta sig eller samtycka till behandling.

Hur kan den enskildes tillgång till sina personuppgifter förbättras och förtydligas?

Utvecklingen har de senaste åren varit sådan att den enskilde på flera sätt fått en starkare ställning i förhållande till hälso- och sjukvården. Den enskilde har i många fall behov av att kunna registrera uppgifter för att exempelvis komplettera uppgifter eller förbereda ett läkarbesök. Den enskilde bör också som huvudregel kunna ha tillgång till sina egna uppgifter. Undantag finns bl.a. i 25 kap. 6 § OSL. I dag kan enskilda delvis ha tillgång till vissa uppgifter exempelvis via Mina vårdkontakter på 1177.se. Slutligen behöver den enskilde rent faktiskt kunna använda sig av de möjligheter som nuvarande reglering ger för att spärra uppgifter i

journalen. Det kan vara svårt i dag, särskilt om många vårdgivare är inblandade.

Det är i nuvarande lagstiftning svårt att identifiera gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personuppgiftsansvar. För att patienten ska kunna vara en medproducent av information inom hälso- och sjukvården och rapportera in information som kan ligga till grund för s.k. patientrapporterade utfallsmått måste denna gräns tydliggöras i lagstiftningen. Patientrapporterade utfallsmått i exempelvis nationella kvalitetsregister syftar till att generera kunskap om utfallet av vårdens insatser.

Enligt patientdatalagen kan en enskild spärra uppgifter inom en vårdgivares verksamhet, men det saknas i dag enligt patientdatalagen möjligheter för den enskilde att överblicka en vårdprocess som sträcker sig över gränser mellan vårdgivare.

Möjligheter för vårdgivare att ansöka om journalförstöring

Enligt nuvarande lagstiftning får ansökan om förstörande av patientjournal göras till Socialstyrelsen, antingen av den enskilde själv eller av någon annan som omnämns i journalen. I de fall vårdpersonal för in felaktigheter i journalen av misstag finns två alternativa sätt att korrigera misstaget. Antingen görs en rättelse enligt patientdatalagen eller så kontaktar vårdgivaren patienten och ber denne ansöka om förstörande av journalanteckningen. Det första alternativet, en rättelse, innebär att den felaktiga uppgiften ändå finns kvar i journalen. För det andra alternativet kan det i vissa fall finnas omständigheter som gör att det inte är lämpligt att vårdgivaren kontaktar patienten.

HOSP-registret – frågor om tillgänglighet

Socialstyrelsen ansvarar för ett datoriserat register över legitimerad hälso- och sjukvårdspersonal (det s.k. HOSP-registret). Behandlingen av uppgifterna i registret regleras genom förordningen (2006:196) om register över hälso- och sjukvårdspersonal som innehåller bestämmelser om registrets ändamål, vilka uppgifter registret får innehålla, utlämnande, information m.m.

Socialstyrelsen har inkommit till Socialdepartementet med en hemställan om att ändringar bör göras i förordningen, i syfte att kunna tillhandahålla vissa uppgifter ur registret på Internet genom elektronisk direktåtkomst. Inera AB och Centrum för eHälsa i samverkan (CeHis) har inkommit med en hemställan om förordningsändringar i syfte att kunna använda HSA Nationell katalogtjänst som källa för behörighetsstyrning via elektronisk direktåtkomst.

Det är viktigt av patientsäkerhetsskäl att information om behörighetsinskränkningar för hälso- och sjukvårdspersonal är lätt tillgängliga för dem som har behov av det, bl.a. arbetsgivare. Ett välfungerande informationsutbyte också mellan de nordiska länderna är av stor betydelse för att upprätthålla en hög patientsäkerhet på den gemensamma arbetsmarknaden för legitimerad hälso- och sjukvårdspersonal. Samtidigt måste hälso- och sjukvårdspersonalens personliga integritet respekteras.

Utredningsfrågor

Utredaren ska i utredningsarbetet göra avvägningar mellan verksamheternas behov av information och skyddet för den personliga integriteten.

Kartlägga och identifiera förutsättningar

Utredaren ska

  • med utgångspunkt från Datainspektionens granskningar och Socialstyrelsens tillsynsrapporter kartlägga vilka behov hälso- och sjukvården och socialtjänsten har av att ta del av uppgifter från respektive verksamhet och vilka uppgifter som då behöver dokumenteras för att möjliggöra samverkan mellan socialtjänsten och hälso- och sjukvården. Vidare ska en avvägning mellan behoven och den enskildes intresse av integritet göras för att fastställa vilka uppgifter som bedöms vara nödvändiga att behandla genom t.ex. utlämnande
  • genom direktåtkomst. Vad gäller avvägningen mellan behovet av information och den enskildes intressen bör även särskild hänsyn tas till exempelvis att personer som ändrat, eller ansökt

om att ändra, sin könstillhörighet och hur de kan komma att påverkas. Kartläggningen bör när det gäller socialtjänsten särskilt fokusera på grupperna äldre personer, personer med missbruk eller beroenden samt personer med psykisk sjukdom och funktionsnedsättning.

  • identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) som finns i dag för en sådan informationshantering och i förekommande fall i vilka lagar dessa hinder finns.

Tillgång till personuppgifter

Utredaren ska

  • om den ovan nämnda kartläggningen ger vid handen att det finns behov av lagändringar för att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten ska få ha tillgång till nödvändiga uppgifter för den aktuella behandlingen eller det aktuella stödet inom eller över organisatoriska gränser lämna sådana förslag. I denna och den efterföljande utredningsfrågan bör fokus ligga på grupperna äldre personer, personer med missbruk eller beroenden samt personer med psykisk sjukdom och funktionsnedsättning.
  • om den ovan nämnda kartläggningen visar att det finns behov, föreslå lagstiftning eller andra åtgärder som medger att behörig personal får använda personuppgifterna för att löpande följa upp, kvalitetssäkra och utveckla verksamheterna.
  • utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering.
  • utreda om Datainspektionen behöver ytterligare befogenheter för att förhindra att behandling av personuppgifter inleds eller fortsätter i strid med gällande författningsreglering.
  • analysera och redovisa vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Om gällande rätt hindrar sådant uppgiftslämnande

ska utredaren lämna författningsförslag som gör uppgiftslämnandet möjligt. Utredaren ska beakta det arbete som sker i projektet Smart Open Services for European Patients (epSOS).

  • undersöka om det finns skäl att i 26 kap. OSL införa sekretessbrytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården.
  • utreda om det är lämpligt att beträffande personer som saknar förmåga att motsätta sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m.
  • analysera om det vid verksamhetsövergång från enskild verksamhet till annan enskild verksamhet eller till offentlig verksamhet ska krävas samtycke från varje enskild individ för överlämnande av personuppgifter till den nya vårdgivaren/utföraren eller om detta ska tillgodoses genom bestämmelser som bryter tystnadsplikten samt vid behov föreslå författningsändringar. I denna fråga ingår att lämna förslag som möjliggör för en ny verksamhetsansvarig att få tillgång till de uppgifter som behövs för att bl.a. säkerställa en god vård och omsorg.
  • föreslå hur bestämmelser om gallring av personuppgifter i relevant lagstiftning kan harmoniseras.
  • analysera vilka nationella kontrollmekanismer som måste finnas för att nödvändiga säkerhets- och behörighetslösningar ska användas.
  • föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen (1998:543) om hälsodataregister.

Den enskildes tillgång till sina personuppgifter

Utredaren ska

  • analysera och lämna förslag som juridiskt tydliggör gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personupp-

giftsansvar för sådana känsliga uppgifter som den enskilde själv rapporterar in till hälso- och sjukvården eller socialtjänsten.

  • överväga behovet av lagreglering av personuppgiftsansvar för säkerhetsåtgärder vid it-kommunikation med enskilda individer.
  • föreslå nationella kriterier för vad som kan betecknas som patientrapporterade utfallsmått.
  • föreslå förändringar i lagstiftningen och andra nödvändiga åtgärder som ökar patientsäkerheten och stärker den enskildes faktiska möjligheter att utöva sin rätt att spärra hela eller delar av sin journal. I denna del bör utredaren särskilt beakta den analys av frågan som Patientmaktsutredningen (dir. 2011:25) har i uppdrag att utföra.

Möjlighet för vårdgivare att ansöka om journalförstöring

Utredaren ska

  • överväga om det bör införas en möjlighet för vårdgivare att ansöka om journalförstöring och, om det bedöms som lämpligt, lämna förslag till en sådan reglering.

HOSP-registret

Utredaren ska

  • analysera förutsättningarna för att vissa personuppgifter som rör hälso- och sjukvårdspersonal ska kunna göras tillgängliga på internet eller genom elektronisk direktåtkomst. Utredaren ska förhålla sig till vad Socialstyrelsen, Inera AB och CeHis framfört i sina hemställningar. Utredaren ska särskilt bedöma vilka aktörer som har behov av informationen och hur deras informationsbehov kan tillgodoses samt, efter en avvägning mellan behoven och integritets
  • aspekterna, föreslå vilka personuppgifter som ska få behandlas för att tillgodose behoven.
  • överväga andra alternativ än de ovan angivna som kan tillgodose behoven, bedöma och redovisa alla alternativs för- och nackdelar samt föreslå författningsändringar för det alternativ som bedöms lämpligast.

Övrigt

Utredaren är oförhindrad att ta upp frågor som inte nämns i dessa direktiv, men som utredaren anser behöver analyseras eller regleras för att utredaren ska kunna fullgöra sitt uppdrag på ett tillfredsställande sätt.

Konsekvensbeskrivningar

Utredarens förslag kan komma att få konsekvenser för landsting, kommuner, privata vårdgivare och enskilda utförare inom socialtjänsten som måste anpassa sina verksamheter och system efter reviderad eller ny lagstiftning. Utredaren måste således göra en ingående konsekvensanalys av sina förslag utifrån att förslagen genomförs respektive inte genomförs. I konsekvensbeskrivningen ska även ingå att granska förslagens konsekvenser för den personliga integriteten. Vidare ska utredaren utarbeta en plan för hur tillämpningen av lagstiftningen inom hälso- och sjukvården och socialtjänsten kan underlättas.

Om förslagen i slutbetänkandet påverkar kostnaderna eller intäkterna för staten, landstingen, kommunerna eller enskilda ska en beräkning av dessa konsekvenser redovisas. Om för-slagen får samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, landstingen eller kommunerna ska utredaren föreslå en finansiering.

Sedan den 1 januari 2011 finns det i 14 kap. 2 § RF ett förtydligande av principen om att kommunalt självstyre gäller för all kommunal verksamhet. I 14 kap. 3 § RF har en bestämmelse införts om att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett den, dvs. en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i denna utrednings betänkande påverkar det kommunala självstyret ska utredaren

särskilt redovisa dess konsekvenser och de särskilda avvägningar som lett till förslagen.

Då barn berörs av förslagen ska utredaren särskilt analysera förslagens konsekvenser ur ett barn- och barnrättsperspektiv.

Samråd och redovisning av uppdraget Utredaren ska samråda med Utredningen om översyn av Statistiska centralbyrån och statistiksystemet (dir. 2011:32), Utredningen om integritet, effektivitet och öppenhet i en modern e-förvaltning (dir. 2011:86), Statens vård- och omsorgsutredning (dir. 2011:4), Socialstyrelsen, Datainspektionen, Läkemedelsverket, E-legitimationsnämnden, Apotekens Service AB, Sveriges Kommuner och Landsting, övriga relevanta myndigheter och aktörer (t.ex. Rättsmedicinalverket, Kriminalvården, Statens institutionsstyrelse och Försvarsmakten) samt med berörda arbetstagarorganisationer.

Utredaren ska särskilt samråda med Socialstyrelsen om uppdraget att tydliggöra rättsläget kring informationsutbyte inom äldreomsorgen (regeringens beslut den 16 juni 2011) samt med Patientmaktsutredningen (dir. 2011:25), som bl.a. ska undersöka hur informationsutbytet mellan patient och vårdgivare kan underlättas och utvecklas samt analysera hur patienten ska kunna utöva sin rätt att spärra hela eller enskilda delar av den egna journalen till andra vårdenheter.

Uppdraget ska redovisas i ett delbetänkande (enbart om HOSPfrågan) senast den 31 mars 2012 och resterande delar av uppdraget i ett slutbetänkande senast den 1 december 2013.

(Socialdepartementet)

Kommittédirektiv

Tilläggsdirektiv till Utredningen om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m. (S 2011:13)

Dir. 2012:23

Beslut vid regeringssammanträde den 29 mars 2012

Bakgrund

Regeringen beslutade den 15 december 2011 kommittédirektiv om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m. (dir. 2011:111). Den huvudsakliga inriktningen av detta uppdrag gäller även framgent. De delar av uppdraget som avser att förbättra och förtydliga den enskildes tillgång till sina personuppgifter överlappar delvis uppdraget till Utredningen om stärkt ställning för patienten genom ny patientlagstiftning (S 2011:03, dir. 2011:25). Det finns därför behov av att klargöra och delvis förändra gränsdragningen mellan de båda utredningsuppdragen och delvis förändra omfattningen av dem.

Ändring av uppdraget

Patientrapporterade utfallsmått

Utredaren har enligt dir. 2011:111 i uppdrag att föreslå nationella kriterier för vad som kan betecknas som patientrapporterade utfallsmått, dvs. mått som syftar till att generera kunskap om utfallet av vårdens insatser. Patienten ska enligt direktivet kunna vara medproducent av information inom hälso- och sjukvården.

Utredningen (S 2011:03) har enligt dir. 2011:25 i uppdrag att föreslå en modell för webbaserad inrapportering av patientupplevd kvalitet. Syftet är att alla patienter ska ges förutsättningar att dela med sig av sina upplevelser av vården genom en enkel webbaserad tjänst. Det är angeläget att på ett strukturerat sätt ta till vara patien-

tens upplevelser av vården och att patienten ges förutsättningar att vara en medproducent av information i vården. Det är viktigt att tjänsten utformas så att olika kategorier av patienter kan använda sig av den, t.ex. barn, äldre, kvinnor och män, personer med funktionshinder och personer som inte talar svenska.

En modell för webbaserad inrapportering förutsätter kriterier för de patientrapporterade utfallsmått som ska rapporteras in. Utredningens (S 2011:03) uppdrag att föreslå en modell för webbaserad inrapportering av patientupplevd kvalitet förs därför över till utredaren för fortsatt hantering. Utredaren har enligt dir. 2011:111 redan i uppdrag att föreslå lagstiftning eller andra nödvändiga åtgärder som medger att behörig personal får använda personuppgifter för att löpande följa upp, kvalitetssäkra och utveckla verksamheterna. Det är angeläget att även den information som patienten själv rapporterar in kan och får användas för att löpande följa upp, kvalitetssäkra och utveckla verksamheterna.

Informationsutbytet mellan patient och vårdgivare

Utredaren har enligt dir. 2011:111 bl.a. i uppdrag att

  • analysera och lämna förslag som juridiskt tydliggör gränsen mellan patientens egen personuppgiftsbehandling och vårdgivarens personuppgiftsbehandling enligt dennes personuppgiftsansvar för sådana känsliga uppgifter som den enskilde själv rapporterar in till hälso- och sjukvården eller socialtjänsten,
  • överväga behovet av lagreglering av personuppgiftsansvar för säkerhetsåtgärder vid it-kommunikation med enskilda individer.

Utredningen (S 2011:03) har bl.a. i uppdrag att

  • undersöka de legala förutsättningarna för att patienten på ett strukturerat sätt ska kunna dela med sig av sin egen dokumentation till vårdgivaren,
  • beakta erfarenheterna från Socialstyrelsens arbete med nationell informationsstruktur och nationellt fackspråk för vård och omsorg,
  • vid behov utarbeta nödvändiga författningsförslag.

De juridiska frågorna när det gäller patientens tillgång till sina egna uppgifter bör behandlas ur ett helhetsperspektiv. Personuppgiftsansvaret är en väsentlig del som måste klargöras men ett helhetsperspektiv på de legala förutsättningarna inbegriper även sådant som sekretessfrågor, patientens direktåtkomst till sina uppgifter och andra förvaltningsrättsliga frågor avseende exempelvis hantering av allmänna handlingar, diarieföring etc.

Utredningens (S 2011:03) ovan nämnda uppdrag bör därför föras över till utredaren. Utredaren ska i detta sammanhang beakta såväl Socialstyrelsens pågående arbete med nationell informationsstruktur och nationellt fackspråk som det gemensamma arbete med att utveckla ett hälsokonto för medborgaren som beskrivs i Dagmaröverenskommelsen för 2012.

Förlängd tid för delredovisning av uppdraget

Tiden för lämnande av delbetänkande avseende utredningsfrågorna om register över hälso- och sjukvårdspersonal (HOSP-registret) förlängs från den 31 mars till den 31 maj 2012.

(Socialdepartementet)