Till statsrådet och chefen för Socialdepartementet Göran Hägglund

Vid regeringssammanträde den 15 december 2011 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten (dir. 2011:111). Utredaren fick även ett deluppdrag bestående i att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).

Till särskilt utredare förordnades hälso- och sjukvårdsdirektören Lena Lundgren. Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).

Den 29 mars 2012 beslutade regeringen genom tilläggsdirektiv till utredningen (dir. 2012:23) att deluppdraget angående HOSPregistret skulle redovisas senast den 31 maj 2012. Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.

Genom beslut i tilläggsdirektiv vid regeringssammanträde den 2 maj 2013 beslutade regeringen att utredaren i ett deluppdrag ska utreda om det är lämpligt att beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. (dir. 2013:43). Regeringen beslutade att denna del av uppdraget ska redovisas i ett delbetänkande senast den 5 juni 2013.

Utredningen överlämnade delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.

Regeringen beslutade även att utredaren ska, för den del av uppdraget som handlar om att identifiera nödvändiga förutsättningar

för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten, i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen överlämnades till regeringen den 31 december 2013 och återfinns i bilaga 4 till detta slutbetänkande.

Regeringen beslutade vidare att utredningstiden förlängs för huvuddelen av uppdraget som ska redovisas senast den 30 april 2014.

Som huvudsekreterare i utredningen anställdes fr.o.m. den 6 februari 2012 juristen Patrik Sundström. Som sekreterare i utredningen anställdes fr.o.m. den 13 februari 2012 juristen Maria Jacobsson. Som sekreterare på halvtid i utredningen anställdes fr.o.m. 1 april 2012 rådmannen Eva Karlsson Helghe och fr.o.m. 23 april 2012 läkaren Inger Nordin Olsson. Inger Nordin Olsson entledigades som sekreterare den 1 juni 2013.

Utredningen får härmed överlämna slutbetänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23).

Till betänkandet fogas ett särskilt yttrande av experten Maria Bergdahl.

Uppdraget är härmed slutfört.

Stockholm i april 2014.

Lena Lundgren

/Maria Jacobsson Eva Karlsson Helghe Patrik Sundström

Förteckning över vilka som deltagit i utredningens arbete

Om inte annat anges har förordnandet gällt från och med den 12 mars 2012.

Experter

Medicinskt ansvariga sjuksköterskan Eva Backlund Juristen Maria Bergdahl, fr.o.m. 4 september 2013 Juristen Marit Birk, fr.o.m. 20 september 2012 Handläggaren Annica Blomsten Verksamhetschefen Mats Brådman Landstingsdirektören Mats Brännström, t.o.m. 7 juli 2013 Socialdirektören Karl Gudmundsson Tillsynschefen Erik Janzon, t.o.m. 4 september 2013 Juristen Tora Nissen, t.o.m. 20 september 2012 Överläkaren Mikael Rolfs Juristen Febe Westberg Chefläkaren Karin Strandberg Nöjd, fr.o.m. 7 juli 2013 Enhetschefen Inger Nordin Olsson, fr.o.m. 24 oktober 2013 Vice vd, Anders Ekholm, fr.o.m. 1 november 2013

Sakkunniga

Rättssakkunnige Maria Arnell, t.o.m. 4 september 2013 Kanslirådet Rickard Broddvall, t.o.m. 10 september 2012. Departementssekreteraren Anna Brooks, fr.o.m. 10 september 2012 Departementsrådet Anders Ekholm, t.o.m. 1 november 2013 Ämnesrådet Jimmy Järvenpää Ämnesrådet Gert Knutsson, t.o.m. 10 september 2012. Kanslirådet Henrik Moberg, fr.o.m. 10 september 2012 Departementssekreteraren Maria Wästfelt

7

Innehåll

Sammanfattning ................................................................ 27

Bakgrund

1 Vårt uppdrag och arbete .............................................. 51

1.1 Vårt uppdrag ............................................................................. 51 1.2 Utredningens arbete ................................................................ 53 1.2.1 Sakkunnig- och expertgrupp ........................................ 54 1.2.2 Samråd med statliga utredningar ................................. 55 1.2.3 Metodstöd m.m. ........................................................... 55 1.2.4 Delbetänkandet Bättre behörighetskontroll ............... 56 1.2.5 Delbetänkandet Rätt information – Kvalitet och

patientsäkerhet för vuxna med nedsatt beslutsförmåga .............................................................. 56

1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt ................................ 58

1.3 Betänkandets disposition ......................................................... 59

2 Rätt information på rätt plats i rätt tid – några utgångspunkter .......................................................... 61

2.1 Inledning................................................................................... 61 2.2 Individen och individens behov i centrum ............................. 62 2.3 Informationshantering som en integrerad del i verksamheten............................................................................ 64

Innehåll SOU 2014:23

8

2.4 Informationshantering rörande personer med nedsatt beslutsförmåga .......................................................................... 64 2.5 Den tekniska utvecklingen ger nya möjligheter ..................... 65 2.6 Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet .............................. 66

3 Kort om regelverket och om ansvaret för tillsynen........... 69

3.1 God vård och omsorg .............................................................. 69 3.1.1 Målen för hälso- och sjukvården och

socialtjänsten ................................................................. 69

3.1.2 Ledningssystem för kvalitet ......................................... 70

3.2 Informationshantering och personuppgiftsbehandling ......... 72 3.2.1 Informationshantering för en god vård och

omsorg ........................................................................... 72

3.3 Tystnadsplikt och sekretess ..................................................... 75 3.4 Tillsyn av vård och omsorg ...................................................... 76

Hälso- och sjukvård

4 En hälso- och sjukvård i utveckling ............................... 79

4.1 Inledning ................................................................................... 79 4.1.1 Riksrevisionens rapport ................................................ 80 4.2 Hälso- och sjukvårdens organisation ...................................... 80 4.2.1 Landstingens ansvar ...................................................... 81 4.2.2 Kommunernas ansvar.................................................... 82 4.2.3 Privata vårdgivare m.m. ................................................ 83 4.2.4 Vårdval och valfrihetssystem ........................................ 85 4.2.5 Ett växande antal privata vårdgivare ............................. 86 4.2.6 Ökad specialisering ....................................................... 88 4.2.7 Vårdval – ökade möjligheter för medborgarna ............ 88 4.2.8 Vårdprocesser sträcker sig allt mer över

vårdgivargränser ............................................................ 89

4.2.9 Sammanfattande reflektioner ....................................... 90

Innehåll

9

5 Informationshantering inom hälso- och sjukvården ......... 91

5.1 Bakgrund .................................................................................. 91 5.2 Den rättsliga regleringen av informationshanteringen .......... 93 5.2.1 Begreppet vårdgivare .................................................... 93 5.2.2 Informationshantering inom en vårdgivares

verksamhet (inre sekretess) ......................................... 94

5.2.3 Informationshantering mellan vårdgivare ................... 95 5.2.4 Informationshantering mellan vårdgivare – sammanhållen journalföring ......................................... 97 5.2.5 Enskilds möjlighet att ta del av uppgifter genom direktåtkomst .............................................................. 100 5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14) ......... 100 5.2.7 Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet ............................................... 101 5.2.8 Verksamhetsuppföljning över vårdgivargränser ....... 102 5.2.9 Särskilt om nationella kvalitetsregister ...................... 103

6 En ändamålsenlig informationshantering – iakttagelser och reflektioner ...................................... 107

6.1 Bakgrund ................................................................................ 107 6.1.1 Vårt uppdrag och våra utgångspunkter ..................... 109 6.2 Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte ...................................... 110 6.3 Informatik och it-frågor ........................................................ 112 6.4 Patientdatalagen och tillämpningsproblemen ...................... 115 6.5 Bristande efterlevnad av regelverket ..................................... 119 6.6 Kunskap, kompetens, ledning och styrning ......................... 121 6.7 Sammanfattande reflektioner ................................................ 122

7 En ny lag: hälso- och sjukvårdsdatalag ....................... 123

7.1 Bakgrund ................................................................................ 123 7.1.1 Kort om våra utgångspunkter för denna typ av

lagstiftning .................................................................. 124

7.1.2 Vårt uppdrag m.m. ...................................................... 125

Innehåll SOU 2014:23

10

7.2 Våra överväganden och förslag .............................................. 126 7.2.1 En ny lag ersätter patientdatalagen ............................ 126 7.2.2 Lagens innehåll, tillämpningsområde och

förhållande till personuppgiftslagen .......................... 128

7.2.3 Lagens syfte ................................................................. 131 7.2.4 Viktiga definitioner ..................................................... 133 7.2.5 Övriga bestämmelser som förs över från patientdatalagen .......................................................... 139

8 Grundläggande bestämmelser om behandling av personuppgifter ........................................................ 141

8.1 Bakgrund ................................................................................. 141 8.2 Våra överväganden och förslag .............................................. 142 8.2.1 Vissa grundläggande bestämmelser förs över

oförändrade från patientdatalagen ............................. 142

8.2.2 Personuppgiftsansvar .................................................. 144 8.2.3 Sökbegrepp .................................................................. 145 8.2.4 Tillåtna ändamål för behandling av personuppgifter m.m. ................................................. 150 8.2.5 Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården ...................... 158

9 Säker och ändamålsenlig hantering av personuppgifter . 171

9.1 Bakgrund ................................................................................. 171 9.2 Våra överväganden och förslag .............................................. 172 9.2.1 Ansvar för den som arbetar hos en vårdgivare –

inre sekretess ............................................................... 173

9.2.2 Ansvar för att uppgifter är tillgängliga när de behövs .......................................................................... 177 9.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m. ......................................................... 178 9.2.4 Ansvar för informationssystemens utformning ........ 181 9.2.5 Ansvar för behörighetstilldelning .............................. 184 9.2.6 Ansvar för kontroll av elektronisk åtkomst .............. 187 9.2.7 Tillsyn över en säker och ändamålsenlig hantering av personuppgifter ...................................................... 189

Innehåll

11

10 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga ............................................ 193

10.1 Bakgrund ................................................................................ 193 10.1.1 Vårt uppdrag ............................................................... 195 10.2 Generellt om personuppgiftsansvar ...................................... 196 10.3 Personuppgiftsansvar vid samverkan mellan olika aktörer..................................................................................... 198 10.3.1 Patientdatautredningens resonemang m.m. .............. 200 10.3.2 Några exempel från Datainspektionens tillsyn

m.m. ............................................................................. 203

10.4 Våra överväganden och förslag .............................................. 206 10.4.1 Krav på risk- och sårbarhetsanalys,

överenskommelse och tydliggörande av personuppgiftsansvar .................................................. 206

11 Elektroniskt utlämnande av personuppgifter ................ 221

11.1 Bakgrund ................................................................................ 221 11.2 Våra överväganden och förslag .............................................. 222 11.2.1 Vissa bestämmelser om utlämnande förs över

från patientdatalagen .................................................. 222

11.2.2 Grundläggande bestämmelser om direktåtkomst förs över till hälso- och sjukvårdsdatalagen .............. 224 11.2.3 Direktåtkomst vid källdatagranskning i samband med kliniska prövningar m.m. ................................... 230

12 Ett tydligare ansvar för patientjournalen och dess innehåll ................................................................... 237

12.1 Vårt uppdrag m.m. ................................................................. 237 12.2 Gällande rätt om ansvaret för patientjournalen och dess innehåll ................................................................................... 240 12.2.1 Grundläggande förutsättningar ................................. 240 12.2.2 Ansvaret för uppgifterna i patientjournalen ............. 241 12.2.3 Patientens avvikande mening ska antecknas ............. 242 12.2.4 Patientjournalen som allmän handling ...................... 244 12.2.5 Bevarande och gallring av journalhandlingar ............ 245

Innehåll SOU 2014:23

12

12.2.6 Signeringskravet – kontrolläsning och bekräftelse av uppgifternas riktighet ............................................. 248 12.2.7 Rättelse av felaktiga uppgifter .................................... 251 12.2.8 Att ta bort uppgifter från patientjournalen ............... 253

12.3 Kort om patientjournalens utformning ................................ 254 12.4 Våra överväganden och förslag .............................................. 256 12.4.1 Vissa bestämmelser om journalföring förs över

från patientdatalagen ................................................... 256

12.4.2 Ny bestämmelse om patientjournalen ....................... 259 12.4.3 Patientjournalen är även en informationskälla vid undervisning och utbildning ....................................... 260 12.4.4 Förtydliganden i fråga om vem bestämmelserna om patientjournalen riktar sig till .............................. 261 12.4.5 Patientens möjlighet att bidra med uppgifter i patientjournalen .......................................................... 263 12.4.6 Vårdgivarens ansvar för patientjournalen m.m. förtydligas .................................................................... 264 12.4.7 Vårdgivarens ansvar för utformningen av patientjournalen förtydligas ....................................... 266 12.4.8 Vårdgivaren ska säkerställa att uppgifter är korrekta och att felaktigheter rättas .......................... 268 12.4.9 Den som för journal ska kontrollera sina uppgifter ...................................................................... 271 12.4.10 Vårdgivare ska få utplåna uppenbara felaktigheter i patientjournalen .................................. 274

13 En informationshantering med patienten i centrum ...... 281

13.1 Bakgrund ................................................................................. 281 13.2 Några utgångspunkter för utredningen ................................ 282 13.3 Utredningens reflektioner kring gällande rätt ...................... 284 13.3.1 Exempel 1. Konsekvenser för

informationsutbytet beroende på olika driftformer inom ett landstings ansvarsområde ........ 285

13.3.2 Exempel 2. Möjligheterna till aktiv hälsostyrning i län med liten eller stor mångfald av aktörer ............ 288 13.3.3 Exempel 3. Möjligheterna att kvalitetssäkra vårdprocesser över vårdgivargränser .......................... 290

Innehåll

13

13.3.4 Exempel 4. Hantering av vårddokumentation i samband med byte av utförare ................................... 291

13.4 Våra överväganden och förslag .............................................. 294 13.4.1 Inledning ..................................................................... 294 13.4.2 Förbättrade möjligheter till direktåtkomst mellan

vårdgivare inom en huvudmans ansvarsområde ........ 294

13.4.3 Patientens rätt att spärra information inom och mellan vårdgivare inom huvudmannens ansvarsområde ............................................................. 305 13.4.4 Ökade möjligheter för kommuner och landsting att fullgöra sitt ansvar för hälso- och sjukvården ..... 317 13.4.5 Informationsöverföring vid verksamhetsövergångar .............................................. 323 13.4.6 Kommunalt ansvar för omhändertagna patientjournaler i kommunal hälso- och sjukvård eller hos elevhälsan ..................................................... 328 13.4.7 Bevarande och gallring vid direktåtkomst inom en huvudmans ansvarsområde .................................... 330

14 En ny sammanhållen journalföring ............................. 333

14.1 Bakgrund ................................................................................ 333 14.1.1 Kort om behovet av ett förändrat och förenklat

regelverk ...................................................................... 336

14.2 Våra överväganden och förslag om att göra uppgifter tillgängliga i system för sammanhållen journalföring .......... 337 14.2.1 Tydligare reglering av regelverkets

tillämpningsområde och innebörd ............................. 337

14.2.2 Förenklad utformning av bestämmelserna ................ 341 14.2.3 Grundläggande bestämmelse om att göra uppgifter tillgängliga ................................................... 342 14.2.4 Grundläggande bestämmelse om patienten inte endast tillfälligt saknar förmåga att ta ställning ........ 347 14.2.5 Patientens rätt att motsätta sig sammanhållen journalföring ............................................................... 353 14.2.6 Förbud för vårdnadshavare att motsätta sig sammanhållen journalföring ....................................... 359

14.3 Våra överväganden och förslag om åtkomst till uppgifter i sammanhållen journalföring ................................................ 362

Innehåll SOU 2014:23

14

14.3.1 Våra inledande reflektioner kring gällande rätt ......... 362 14.3.2 En ny reglering för åtkomst till uppgifter i sammanhållen journalföring (skede 2) ...................... 371 14.3.3 Åtkomst till uppgifter i samband med vård av vuxna med nedsatt beslutsförmåga ............................ 384 14.3.4 Åtkomst till uppgifter i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga ............. 385 14.3.5 Att ta del av uppgifter om vilken vårdgivare som ansvarar för uppgifter som inte är tekniskt åtkomliga ..................................................................... 388 14.3.6 Bevarande och gallring ................................................ 391 14.3.7 Övriga bestämmelser .................................................. 392

15 Rätt information om läkemedel – på väg mot en samlad läkemedelslista ............................................. 395

15.1 Bakgrund ................................................................................. 395 15.1.1 Vårt uppdrag ................................................................ 397 15.1.2 Kort om nationell läkemedelsstrategi ........................ 398 15.2 Kort om läkemedelsbehandling ............................................. 400 15.2.1 Omfattning m.m. ........................................................ 400 15.2.2 Kort om risker och läkemedelsrelaterade problem

m.m. ............................................................................. 401

15.3 Hur ser ordinatörens beslutsunderlag ut? ............................ 404 15.3.1 Våra reflektioner ......................................................... 408 15.4 Hur ser patientens informationsunderlag ut? ...................... 410 15.4.1 Våra reflektioner ......................................................... 413 15.5 På väg mot en samlad läkemedelslista – Nationell ordinationsdatabas.................................................................. 414 15.6 Problembeskrivning – våra reflektioner av gällande rätt...... 415 15.6.1 Åtkomst till journaluppgifter/läkemedelslista .......... 415 15.6.2 Åtkomst till läkemedelsförteckningen ...................... 423 15.6.3 Särskilt om utbyte av läkemedel (generikabyte) ....... 427 15.6.4 Åtkomst till receptregistret ........................................ 432 15.6.5 Våra sammanfattande reflektioner kring gällande

rätt ................................................................................ 435

15.7 Våra överväganden och förslag .............................................. 436

Innehåll

15

15.7.1 Utredningens förslag i andra delar m.m. ................... 436 15.7.2 Behov av åtgärder som leder till harmoniserade regler ............................................................................ 440 15.7.3 Patientens spärrmöjligheter bör inte omfatta uppgifter om ordinerade läkemedel ........................... 442 15.7.4 Ändringar som görs på apotek ................................... 459 15.7.5 Uttag av läkemedel som görs utomlands ska registreras i Läkemedelsförteckningen ...................... 465 15.7.6 Bevarande och gallring av uppgifter .......................... 467 15.7.7 Farmaceuters tillgång till läkemedelsförteckningen ............................................ 468 15.7.8 Övriga rekommendationer för utvecklingen mot en samlad läkemedelslista m.m. ................................. 474

16 Förbättrad tillgång till varningsinformation .................. 477

16.1 Bakgrund ................................................................................ 477 16.1.1 Informationshanteringen ........................................... 478 16.1.2 Vårt uppdrag m.m. ...................................................... 479 16.2 Våra överväganden och förslag .............................................. 480 16.2.1 Varningsinformation bör undantas från

patientens spärrmöjligheter ........................................ 480

16.2.2 Nationella insatser för en strukturerad, entydig och enhetlig varningsinformation .............................. 488

17 Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården ......................................................... 491

17.1 Bakgrund ................................................................................ 491 17.2 Nationella kvalitetsregister .................................................... 494 17.2.1 Exempel på användning av nationella

kvalitetsregister ........................................................... 495

17.2.2 Kort om regelverket och dess framväxt .................... 497

17.3 Reflektioner kring möjligheterna att använda patientuppgifter i lokalt kvalitetsarbete ................................ 500 17.3.1 Lagstiftningen ger möjligheter till

kvalitetssäkring och kvalitetsutveckling .................... 501

17.4 Våra överväganden och förslag rörande nationella kvalitetsregister ...................................................................... 505

Innehåll SOU 2014:23

16

17.4.1 Bestämmelser om nationella kvalitetsregister förs över till hälso- och sjukvårdsdatalagen ...................... 505 17.4.2 Patientens möjlighet att bidra med uppgifter i registreringen............................................................... 512 17.4.3 Tydligare bestämmelser om personuppgiftsansvar för nationella kvalitetsregister .................................... 513 17.4.4 Kvalitetsregister ska få användas för att följa upp vård som ges av flera olika vårdgivare ........................ 519 17.4.5 Kvalitetsregister ska kunna användas för patienter med nedsatt beslutsförmåga ....................... 528 17.4.6 Att utvidga ett nationellt kvalitetsregister ................ 535 17.4.7 Förändringar av personuppgiftsansvaret för central behandling av personuppgifter ...................... 542

Socialtjänst

18 En socialtjänst i utveckling ........................................ 547

18.1 Vad är socialtjänst? ................................................................. 547 18.2 Kommunernas ansvar för socialtjänsten ............................... 548 18.3 Ansvar för Statens institutionsstyrelse (SiS) ........................ 554 18.4 Ansvar för landstingen ........................................................... 554 18.5 Samverkan med andra huvudmän .......................................... 555 18.6 Privata utförare i socialtjänsten ............................................. 556 18.6.1 Valfrihetssystem i socialtjänsten ................................ 557 18.7 Sammanfattande reflektioner ................................................ 560

19 Informationshantering inom socialtjänsten .................. 563

19.1 Bakgrund ................................................................................. 563 19.2 Dokumentation och handläggning för rättssäkerhet, kvalitet och insyn ................................................................... 564

19.3 Informationshantering i olika skeden ................................... 565 19.4 Den rättsliga regleringen av dokumentation och personuppgiftsbehandling ..................................................... 567

Innehåll

17

19.4.1 Socialstyrelsens föreskrifter SOSFS 2006:5 .............. 568 19.4.2 Lagen om behandling av personuppgifter inom socialtjänsten ............................................................... 569 19.4.3 Förordningen om behandling av personuppgifter inom socialtjänsten ..................................................... 573 19.4.4 Direktåtkomst och utlämnande på medium för automatiserad behandling .......................................... 575

19.5 Sekretess på socialtjänstens område...................................... 576 19.5.1 Sekretess mellan myndigheter och självständiga

verksamhetsgrenar ...................................................... 578

19.5.2 Sekretess i förhållande till privata utförare av socialtjänst ................................................................... 579

20 En ändamålsenlig informationshantering – iakttagelser och reflektioner ...................................... 581

20.1 Bakgrund ................................................................................ 581 20.2 Informatik och it .................................................................... 581 20.3 Samtycke till insatser – en utgångspunkt för informationshanteringen ....................................................... 583

20.4 Övergripande nämndstruktur påverkar informationshanteringen ....................................................... 585 20.5 Valfrihet och mångfald påverkar informationshanteringen ....................................................... 586

20.6 Informationshantering i samband med rådgivning och annat stöd ............................................................................... 587 20.7 Verksamhetsuppföljning och kvalitetssäkring ..................... 589 20.8 SoLPUL och SoLPULF – ett svårtillgängligt regelverk ...... 591 20.9 Kunskap, kompetens, ledning och styrning ......................... 592 20.10 Sammanfattande reflektioner ................................................ 593

21 En mer ändamålsenlig sekretessreglering i socialtjänsten .......................................................... 595

21.1 Bakgrund ................................................................................ 595

Innehåll SOU 2014:23

18

21.1.1 Kort om kommunens ansvar och organisation ......... 597 21.1.2 Något om tidigare lagstiftningsarbeten ..................... 598

21.2 Våra överväganden och förslag rörande sekretessregleringen i socialtjänsten ..................................... 599 21.2.1 Omotiverade konsekvenser av dagens reglering ....... 599 21.2.2 Alternativa lösningar ................................................... 602 21.2.3 Förslag till en mer ändamålsenlig

sekretessreglering i socialtjänsten ............................. 604

21.2.4 Frågan om sekretess mellan LSS och övrig socialtjänstverksamhet ................................................ 607 21.2.5 Frågan om sekretess mellan LSS och den kommunala hälso- och sjukvården i boenden med särskild service ............................................................. 609 21.2.6 Frågan om sekretess mellan hemtjänst och kommunal hemsjukvård ............................................. 611 21.2.7 Frågan om en sekretessbrytande regel i förhållande till hälso- och sjukvården m.m. .............. 613 21.2.8 Förslag till en sekretessbrytande regel när den enskilde inte kan samtycka ......................................... 616

21.3 Våra överväganden och förslag om kommunens möjligheter att följa upp socialtjänst i enskild verksamhet .............................................................................. 622 21.3.1 Det kommunala huvudmannaansvaret ...................... 623 21.3.2 Förslag om uppgiftsskyldighet från enskilda

verksamheter till kommunen...................................... 625

22 En ny lag: socialtjänstdatalag ..................................... 631

22.1 Bakgrund ................................................................................. 631 22.1.1 Kort om våra utgångspunkter för denna typ av

lagstiftning ................................................................... 633

22.2 Våra överväganden och förslag .............................................. 635 22.2.1 En samlad reglering i en ny lag ................................... 635 22.2.2 Bestämmelser om handläggning och

dokumentation ligger kvar i befintlig lagstiftning .... 636

22.2.3 Lagens tillämpningsområde ........................................ 637 22.2.4 Definition av socialtjänst ............................................ 643 22.2.5 Syftet med lagen .......................................................... 645 22.2.6 Förhållandet till personuppgiftslagen ........................ 647

Innehåll

19

23 Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten ............ 651

23.1 Bakgrund ................................................................................ 651 23.2 Våra överväganden och förslag .............................................. 652 23.2.1 Tillåtna ändamål för behandlingen av

personuppgifter ........................................................... 652

23.2.2 Sammanställningar av personuppgifter ..................... 663 23.2.3 Personuppgifter som får behandlas i socialtjänsten ............................................................... 670 23.2.4 Den enskildes inställning till personuppgiftsbehandlingen ...................................... 674 23.2.5 Behandling av personuppgifter vid råd och service .......................................................................... 677 23.2.6 Personuppgiftsansvar ................................................. 679 23.2.7 Sökbegrepp .................................................................. 680

24 Säker och ändamålsenlig hantering av personuppgifter 685

24.1 Bakgrund ................................................................................ 685 24.2 Våra överväganden och förslag .............................................. 686 24.2.1 Ansvar för den som arbetar i socialtjänsten – inre

sekretess ...................................................................... 688

24.2.2 Ansvar för att uppgifter är tillgängliga när de behövs .......................................................................... 690 24.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m. ......................................................... 691 24.2.4 Ansvar för informationssystemens utformning ....... 696 24.2.5 Ansvar för behörighetstilldelning .............................. 698 24.2.6 Ansvar för kontroll av elektronisk åtkomst .............. 701

25 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga ............................................ 705

25.1 Bakgrund ................................................................................ 705 25.1.1 Vårt uppdrag m.m. ...................................................... 707 25.2 Våra överväganden och förslag .............................................. 708 25.2.1 Krav på risk- och sårbarhetsanalys,

överenskommelse och tydliggörande av personuppgiftsansvar .................................................. 708

Innehåll SOU 2014:23

20

26 Elektroniskt utlämnande av personuppgifter ................ 717

26.1 Bakgrund ................................................................................. 717 26.2 Våra överväganden och förslag .............................................. 718 26.2.1 Utlämnande på medium för automatiserad

behandling ................................................................... 718

26.2.2 Utlämnande genom direktåtkomst ............................ 720 26.2.3 Utlämnande av uppgifter till tredje land .................... 723 26.2.4 Vissa bestämmelser om utlämnande från Statens institutionsstyrelse ...................................................... 724

27 Nya möjligheter till informationsutbyte i socialtjänsten . 727

27.1 Bakgrund ................................................................................. 727 27.2 Våra överväganden och förslag .............................................. 728 27.2.1 Direktåtkomst mellan myndigheter i samma

kommun ....................................................................... 728

27.2.2 Direktåtkomst mellan olika utförare i socialtjänsten ............................................................... 732 27.2.3 Personer med nedsatt beslutsförmåga ....................... 738 27.2.4 Tillåtna ändamål vid direktåtkomst till uppgifter hos annan verksamhet ................................................. 740 27.2.5 Personuppgiftsansvar .................................................. 743 27.2.6 Bevarande och gallring ................................................ 744 27.2.7 Sekretessbrytande regel .............................................. 745

28 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten ........................................................... 751

28.1 Bakgrund ................................................................................. 751 28.2 Våra överväganden ................................................................. 754

29 Allmänna frågor om enskildas rättigheter m.m. ............ 763

29.1 Bakgrund ................................................................................. 763 29.2 Våra överväganden och förslag .............................................. 764 29.2.1 Enskildas rätt att ta del av uppgifter .......................... 764 29.2.2 Information om personuppgiftsbehandlingen .......... 764

Innehåll

21

29.2.3 Information om åtkomst till den enskildes uppgifter ...................................................................... 766 29.2.4 Rättelse ........................................................................ 768 29.2.5 Skadestånd ................................................................... 769

30 Socialstyrelsens behandling av personuppgifter ........... 771

30.1 Bakgrund ................................................................................ 771 30.2 Våra överväganden och förslag .............................................. 771 30.2.1 Ny lag om Socialstyrelsens behandling av

personuppgifter i verksamhet avseende utredningar av vissa dödsfall ...................................... 771

30.2.2 Lagens tillämpningsområde ....................................... 772 30.2.3 Personuppgiftsansvar ................................................. 773 30.2.4 Tillåten personuppgiftsbehandling ............................ 773

Informationsutbyte mellan hälso- och sjukvården och

socialtjänsten

31 Behov av en mer sammanhållen informationshantering ............................................... 775

31.1 Bakgrund ................................................................................ 775 31.1.1 Individens behov som utgångspunkt ......................... 775 31.1.2 Det delade ansvaret för hälso- och sjukvård och

socialtjänst ................................................................... 777

31.1.3 Stora krav på informationsöverföringen ................... 783

31.2 Rättsliga krav på samverkan mellan huvudmän.................... 784 31.2.1 Samverkan på övergripande nivå ................................ 785 31.2.2 Samverkan på individuell nivå .................................... 786 31.3 Utredningens iakttagelser och reflektioner när det gäller integrerade verksamheter ...................................................... 788 31.3.1 Vård och omsorg om äldre i särskilt boende och i

hemmet ........................................................................ 789

31.3.2 Vård och omsorg om personer med psykisk sjukdom och funktionshinder .................................... 796 31.3.3 Vård och omsorg om personer med missbruk och beroendeproblem ........................................................ 800 31.3.4 Vård och omsorg om barn och unga ......................... 803

Innehåll SOU 2014:23

22

32 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst ........................... 807

32.1 Bakgrund ................................................................................. 807 32.2 Vilka förändringar behövs? .................................................... 808 32.2.1 Kort om nuvarande regelverk ..................................... 809 32.2.2 Kort om utredningens förslag i övriga delar ............. 809 32.2.3 Vad behövs ytterligare? .............................................. 811 32.3 Våra överväganden och förslag .............................................. 811 32.3.1 Inledande utgångspunkter .......................................... 811 32.3.2 Två alternativa möjligheter bör tillhandahållas ......... 812 32.3.3 Särskilda kapitel i lagstiftningen ................................. 814 32.3.4 Utlämnande genom direktåtkomst mellan hälso-

och sjukvård och socialtjänst ska vara möjligt .......... 815

32.3.5 Direktåtkomst avseende vuxna med inte endast tillfälligt nedsatt beslutsförmåga ................................ 825 32.3.6 Direktåtkomst är tillåten endast så länge det konkreta behovet finns ............................................... 828 32.3.7 Direktåtkomst ska föregås av risk- och sårbarhetsanalys och överenskommelse om skyddet för uppgifterna .............................................. 829 32.3.8 Bevarande och gallring vid direktåtkomst ................. 830 32.3.9 Fråga om absolut sekretess ......................................... 831 32.3.10 Gemensam vård- och omsorgsjournal för personer med behov av både socialtjänst och hälso- och sjukvård ................................................... 832 32.3.11 Innehållet i en gemensam vård- och omsorgsjournal m.m. ................................................ 842 32.3.12 Överenskommelse om gemensam vård- och omsorgsjournal .......................................................... 844 32.3.13 Att ta del av uppgifter genom direktåtkomst eller i en gemensam vård- och omsorgsjournal ....... 845 32.3.14 Bevarande och arkivering av gemensam vård och omsorgsjournal .......................................................... 849 32.3.15 Sekretessbrytande bestämmelser för att möjliggöra förslagen ................................................. 850 32.3.16 Gemensam vård- och omsorgsjournal och sammanhållen journalföring ..................................... 852

Innehåll

23

Ökad kommunikation med medborgare

33 Kommunikation mellan vård- och omsorgsaktörer och medborgare ............................................................. 855

33.1 Bakgrund ................................................................................ 855 33.1.1 Vårt uppdrag ............................................................... 856 33.1.2 En utveckling med flera mål ....................................... 857 33.2 Några utvecklingsarbeten inom området ............................. 859 33.2.1 E-tjänster och erfarenheter från landstinget i

Uppsala ........................................................................ 859

33.2.2 Mina vårdkontakter .................................................... 861 33.2.3 Omsorgsdagboken ...................................................... 863 33.2.4 Mina vårdflöden .......................................................... 863 33.2.5 Din journal på nätet – förstudien .............................. 864 33.2.6 Hälsa för mig – ett personligt hälskonto .................. 868 33.2.7 Internationell utblick .................................................. 869

33.3 Några reflektioner kring informationsflöden och aktörer..................................................................................... 871

33.4 Kort genomgång av gällande rätt .......................................... 875 33.4.1 Patientens rätt att ta del av sin journal i hälso-

och sjukvården ............................................................ 876

33.4.2 Elektroniskt utlämnande av uppgifter till patienten ...................................................................... 877 33.4.3 Krav på säkerhetsåtgärder m.m. i hälso- och sjukvården ................................................................... 878 33.4.4 Individens rätt till uppgifter om uthämtade läkemedel ..................................................................... 880 33.4.5 Individens rätt till information i socialtjänsten ........ 880 33.4.6 Elektroniskt utlämnande till individen i socialtjänsten ............................................................... 881 33.4.7 Krav på säkerhetsåtgärder m.m. i socialtjänsten ....... 882

33.5 Våra överväganden och förslag .............................................. 883 33.5.1 Direktåtkomst för enskilda i socialtjänsten .............. 883 33.5.2 Direktåtkomst för patienter och frågan om

sekretess mot patienten själv...................................... 886

33.5.3 Tydlig information och överenskommelser med den enskilde ................................................................. 894

Innehåll SOU 2014:23

24

33.5.4 Begreppet personligt hälskonto – behov av definition? .................................................................... 896 33.5.5 Personuppgiftsansvar för vårdgivare och den som bedriver socialtjänst .................................................... 899 33.5.6 Personuppgiftsansvar när utlämnade uppgifter lagras i ett personligt hälsokonto ............................... 900 33.5.7 Hantering av uppgifter i ett personligt hälsokonto – för privat bruk ...................................... 902 33.5.8 Personuppgiftsansvar för den som tillhandahåller ett personligt hälskonto .............................................. 903 33.5.9 Hälsokonto och allmänna handlingar ........................ 906 33.5.10 Vem kan tillhandahålla ett personligt hälsokonto? ............................................................... 910 33.5.11 Den enskildes möjlighet att förfoga över sin direktåtkomst m.m.................................................... 911

Övriga överväganden och förslag

34 Internationellt informationsutbyte .............................. 925

34.1 Bakgrund ................................................................................. 925 34.2 Våra överväganden om elektroniskt utlämnande till vårdgivare i andra länder ........................................................ 926 34.2.1 Utlämnande med den enskildes samtycke ................. 926 34.2.2 Elektroniskt utlämnande på medium för

automatiserad behandling till andra länder ................ 928

34.2.3 Får ett elektroniskt utlämnande göras genom direktåtkomst? ............................................................ 933 34.2.4 Är detta förenligt med EU-rätten? ............................ 938

34.3 Våra övervägande om elektroniskt utlämnande till apotek i andra länder .............................................................. 942 34.3.1 Utlämnande med den enskildes samtycke ................. 942 34.3.2 Får ett elektroniskt utlämnande göras genom

direktåtkomst? ............................................................ 946

34.3.3 Är detta förenligt med EU-rätten? ............................ 949

35 Socialstyrelsens läkemedelsregister ............................ 951

35.1 Bakgrund ................................................................................. 951 35.1.1 Vårt uppdrag ................................................................ 952

Innehåll

25

35.2 Rättslig reglering av läkemedelsregistret .............................. 952 35.2.1 Hälsodataregistren ...................................................... 954 35.3 Läkemedelsregistrets användning m.m. ................................ 957 35.4 Uppföljning, utvärdering och kvalitetssäkring m.m. ........... 961 35.5 Våra överväganden och förslag .............................................. 966 35.5.1 Utvecklingen på området ........................................... 966 35.5.2 Nya ändamål bör införas i läkemedelsregistret ......... 969 35.5.3 Uppgift om förskrivningsorsak bör få registreras

i läkemedelsregistret ................................................... 972

36 Patientrapporterade mått .......................................... 977

36.1 Bakgrund ................................................................................ 977 36.1.1 Att mäta och samla in patientupplevelser ................. 978 36.2 Vårt uppdrag ........................................................................... 980 36.3 Våra överväganden ................................................................. 980

37 Datainspektionens befogenheter ................................ 985

37.1 Vårt uppdrag ........................................................................... 985 37.1.1 Datainspektionens befogenheter ............................... 986 37.1.2 Datainspektionens skrivelse till regeringen .............. 987 37.2 Datainspektionens praxis ...................................................... 988 37.3 Bakgrunden till nuvarande reglering ..................................... 990 37.4 Våra överväganden och förslag om utökade befogenheter för Datainspektionen ...................................... 993

27

Sammanfattning

Inledning

Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. För den enskilde individen är ett bra och samlat omhändertagande ofta beroende av stöd och insatser från såväl landsting och kommun som privata vårdgivare eller privat utförare av socialtjänst. Det gäller även i äldreomsorgen, psykiatrin, missbruks- och beroendevården och i verksamheter för funktionshindrade. Arbetet med barn och unga ställer också stora krav på samverkan mellan hälso- och sjukvården och socialtjänsten.

Stora strukturförändringar har genomförts inom hälso- och sjukvården och socialtjänsten de senaste åren. Reformer som bl.a. fritt vårdval och omreglering av apoteksmarknaden har lett till många nya vårdmottagningar, vårdcentraler och apotek där verksamheten i allt större utsträckning utförs av privata aktörer. Även inom socialtjänsten har andelen privata utförare ökat, bl.a. som en följd av lagen (2008:962) om valfrihetssystem. En individ som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter därför allt fler vårdgivare och utförare inom socialtjänsten både nationellt och internationellt.

Hälso- och sjukvården och socialtjänsten är två av de mest informationsintensiva och komplexa sektorerna i samhället. Det medför nya och ökade behov och krav på hur information ska hanteras. Idag spänner informationshanteringen därför över ett mycket större område än tidigare. Vi har gått från en tid när det många gånger har handlat om att uppgifter om enskilda ska dokumenteras, till en tid när det i större utsträckning även handlar om hur uppgifter som har dokumenterats kan och bör användas för att skapa bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna och den ständigt ökande informationstillgången har bland annat medfört att det idag

Sammanfattning SOU 2014:23

28

är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras. Det kan handla om att information om den enskilde individen elektroniskt sambearbetas med andra kunskapskällor, t.ex. nationella riktlinjer, och resulterar i att yrkesutövaren snabbt och säkert får en direkt rekommendation för sitt ställningstagande. Inte minst inom hälso- och sjukvården finns flera exempel på framväxten av olika former av kliniska beslutsstöd där en effektiv informationshantering på systemnivå kan bidra till öka säkerheten och kvaliteten i vården.

Den tekniska utvecklingen har även medfört helt nya möjligheter att arbeta preventivt för att förebygga ohälsa. Med hjälp av information om enskilda och deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att sjukdomar upptäcks tidigare och kan behandlas snabbare samt att enskilda individer får ett mer individanpassat stöd och omhändertagande. Informationshanteringen i hälso- och sjukvården och socialtjänsten är därför av avgörande betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet.

Centralt i hälso- och sjukvården och socialtjänsten är också att ständigt utveckla och säkra kvaliteten i verksamheten i syfte att skapa ännu bättre resultat för de som idag och i framtiden har behov av vård och omsorg. Inte sällan behöver dokumenterade uppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av insatser och enskildas och närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett sådant förbättringsarbete. Det är såväl ett grundläggande allmänt intresse som ett uttryckligt krav i lagstiftningen att systematiskt och fortlöpande utveckla och säkra kvaliteten i socialtjänsten och hälso- och sjukvården.

Sammantaget är en effektiv och ändamålsenlig informationshantering en av grundförutsättningarna för en jämlik vård och omsorg av hög kvalitet i hela landet. Det innebär att satsningar och förbättringsarbeten för säkerhet, tillgänglighet och evidensbaserade arbetssätt i vård och omsorg även behöver inkludera frågor om informationshantering.

För att medborgare ska få säkra insatser av hög kvalitet behöver yrkesutövare inom hälso- och sjukvården och socialtjänsten på ett säkert och ändamålsenligt sätt ha tillgång till uppgifter om individen

SOU 2014:23 Sammanfattning

29

och information om de insatser som han eller hon fått tidigare. Utan tillgång till sådana uppgifter ökar risken för bl.a. bristande beslutsunderlag, felbehandlingar och allvarliga interaktioner mellan läkemedel och andra insatser. I det dagliga arbetet med att ge individer den vård och de insatser som i enskilda fall behövs är personalens hantering av information om dessa individer även integrerat med de konkreta arbetsuppgifterna. Personalen behöver såväl ta del av uppgifter som dokumentera uppgifter för att kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt. Om verksamheten exempelvis använder elektroniska beslutsstöd där information om individen sambearbetas med andra kunskapskällor för att ge specifik vägledning eller behandlingsrekommendationer, blir informationshanteringen närmast en oskiljaktig del av själva arbetets utförande. De regler som gäller avseende själva utförandet av insatserna för individen måste därför vara i harmoni med de regler som gäller för hantering av informationen om honom eller henne.

De organisatoriska gränser som finns mellan olika aktörer i hälso- och sjukvården och socialtjänsten för med sig juridiska och tekniska hinder när det gäller hantering av personuppgifter. Men den enskilde ska inte riskera att få mindre säkra insatser eller insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har tillgång till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde.

Bra samverkande verksamheter kan ge fördelar för individen. Genom samarbete i tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete med övriga stödfunktioner och tillgång till personal dygnet runt m.m. kan den enskildes behov tillgodoses på ett sätt som uppfyller krav på kontinuitet, säkerhet och respekt för den enskilde. För att detta ska vara möjligt behövs det ett regelverk för informationshanteringen som har individen och individens behov i centrum.

Ytterligare en förutsättning för hög kvalitet och säkerhet hälso- och sjukvård och socialtjänst är att både själva insatserna och informationshanteringen bygger på respekt för den enskildes självbestämmande och integritet. Med hänsyn till såväl individens integritet som till förtroendet för hälso- och sjukvården och socialtjänsten kan det aldrig bli fråga om att information om individen ska kunna spridas okontrollerat. De fördelar som ett utlämnande av eller tillgång till uppgifter innebär måste alltid vägas mot de nackdelar och

Sammanfattning SOU 2014:23

30

risker som kan uppkomma. Det handlar om att upprätthålla en balans mellan olika intressen som framför allt integritetsskydd, hälsa, livskvalitet, autonomi och jämlikhet.

Utredningens utgångspunkt är att värden som kvalitet och säkerhet inte står i motsats till behovet av skydd för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Den relevanta frågan handlar därför om hur integritetsskyddet närmare bör utformas för att stimulera en socialtjänst och hälso- och sjukvård där medborgare får insatser av så hög kvalitet och säkerhet som möjligt.

Utredningens förslag i korthet

Två nya lagar; en socialtjänstdatalag och en hälso- och sjukvårdsdatalag

Socialtjänstdatalagen

En särskild s.k. registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet när det gäller behandlingen av integritetskänsliga personuppgifter. Därutöver ger en sådan författning även möjligheter att utforma närmare förutsättningar för hur personuppgiftsbehandlingen bör gå till för att de övergripande syftena med informationshanteringen ska kunna uppnås. Personuppgiftsbehandling som rör ett stort antal registrerade personer och har ett särskilt integritetskänsligt innehåll bör vara reglerade i lag. Det ligger i linje med 2 kap. 6 § regeringsformen

Utredningen föreslår att en ny lag om behandling av personuppgifter inom socialtjänsten ska införas, med namnet socialtjänstdatalag. Lagen ska gälla för kärnverksamheten i socialtjänsten, d.v.s. det som utförs av kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse. Sådan personuppgiftsbehandling som görs av andra aktörer på socialtjänstens område, t.ex. Socialstyrelsen och Inspektionen för vård och omsorg ska inte regleras av socialtjänstdatalagen.

Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet i socialtjänsten. På en övergripande nivå ska förutsättningarna öka för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan socialtjänsten och hälso- och sjukvården. Det handlar både

SOU 2014:23 Sammanfattning

31

om att se till att personuppgifter kan behandlas för att se till att individer i behov av socialtjänst får insatser av hög kvalitet och om att säkerställa behovet av skydd för den personliga integriteten. Författningsstrukturen och det materiella innehållet bör överensstämma i stort med den författningsreglering om behandling av personuppgifter som vi föreslår för hälso- och sjukvården.

Det innebär att socialtjänstdatalagen bland annat innehåller bestämmelser om personuppgiftsansvar, vilka personuppgifter som får behandlas, tillåtna ändamål för personuppgiftsbehandlingen, utlämnande genom direktåtkomst, inre sekretess, behörighetsstyrning, åtkomstkontroll och rättigheter för den enskilde.

Hälso- och sjukvårdsdatalagen

I detta betänkande finns ett stort antal förslag som syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som ska minska tillämpningsproblemen med nuvarande lagstiftning, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. Utredningens förslag i sin helhet kommer därför att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen (2008:355). Under arbetets gång har det blivit uppenbart att våra förslag skulle medföra så många förändringar att det skulle inverka negativt på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig.

Utredningen lämnar i betänkandet förslag som ska underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten underlättas om vi lämnar förslag till en ny lagstiftning för båda dessa områden samtidigt.

Utredningen anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämpningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och för de som ska tillämpa lagstiftningen.

Vårt förslag innebär att många bestämmelser ska överföras materiellt oförändrade från patientdatalagen till den nya lagen. Det

Sammanfattning SOU 2014:23

32

har gett oss tillfälle att överväga och vid behöv föreslå förenklad utformning och språkliga justeringar i paragraferna. Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalag.

En informationshantering som utgår från individens behov

Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde

Behovet av informationsutbyte om en patient är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet i hälso- och sjukvården är att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att han eller hon ska få en god och säker vård.

Dagens organisationsinriktade lagstiftning motverkar dock ett sådant informationsutbyte. Även om i princip all hälso- och sjukvård är offentligt finansierad av kommuner och landsting uppställer lagstiftningen hinder för informationsutbytet mellan vårdgivare som är offentligt finansierade. För patienter som bor i kommuner eller landsting med få privata leverantörer i det offentligfinansierade systemet ger lagstiftningen bättre förutsättningar för en ändamålsenlig och sammanhållen informationshantering än för patienter som bor i ett landsting eller en kommun med en stor mångfald av vårdgivare.

Vi anser att alla medborgare som väljer vårdgivare, t.ex. en privat vårdcentral med offentlig finansiering, ska kunna lita på att den vårdgivaren har lika goda legala möjligheter som en landstingsdriven vårdcentral att t.ex. utbyta information med det landstingsdrivna sjukhuset. För att möjliggöra detta föreslår utredningen att det ska vara tillåtet att utbyta nödvändiga uppgifter om en patient på samma enkla sätt oavsett hur vården i ett landsting eller i en kommun är organiserad. Vi föreslår att det ska bli tillåtet för offentligfinansierade vårdgivare inom en huvudmans ansvarsområde att utbyta uppgifter om en patient med hjälp av direktåtkomst med stöd av samma regler oavsett om verksamheten drivs offentlig eller privat. Inom det egna landstinget eller inom

SOU 2014:23 Sammanfattning

33

den egna kommunen ska informationen kunna följa patienten på ett enkelt och säkert sätt som är till nytta för honom eller henne.

För att tillgodose patienternas behov av integritetsskydd föreslår vi att patienten ska få en rätt att begränsa den elektroniska åtkomsten inom och mellan dessa vårdgivare, på ett sådant sätt att verksamheter som i praktiken inte heller deltar i patientens vård och behandling inte heller får ta del av uppgifterna. En sådan spärr kan sedan hävas med patientens samtycke eller i en nödsituation där patienten inte kan lämna samtycke.

Jämlik tillgång till sammanhållen journalföring

En konsekvens av utredningens förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en och samma huvudmans ansvarsområde är att tillämpningsområdet för reglerna om sammanhållen journalföring krymper. Istället för som idag gälla vid allt informationsutbyte genom direktåtkomst mellan vårdgivare kommer reglerna att tillämpas för informationsutbytet mellan vårdgivare som finansieras av olika huvudmän, t.ex. en kommunalt finansierad vårdgivare och en landstingsfinansierad vårdgivare eller två vårdgivare som finansieras av olika landsting.

Genom sammanhållen journalföring kan viktig information om patienterna finnas tillhands i den stund och på den plats behovet för patienten uppstår. En förutsättning för det är dock att patienten inte motsatt sig informationsutbytet. I sådant fall får uppgifterna inte finnas tekniskt åtkomliga för andra vårdgivare i systemet för sammanhållen journalföring. Med hänsyn till patientens rätt till självbestämmande och integritetsskydd ska den förutsättningen enligt utredningens förslag alltjämt vara gällande, men med två undantag. Utredningen föreslår att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga så att uppgifterna kan nås i de situationer det behövs för patientens vård.

Ett problem med gällande bestämmelser om sammanhållen journalföring är att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de fördelar det kan medföra. En person som i det aktuella avseendet har

Sammanfattning SOU 2014:23

34

nedsatt beslutsförmåga kan varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet.

För att den som har nedsatt beslutsförmåga ska ha samma möjligheter som andra individer att dra nytta av ett mer patientsäkert och effektivt informationsutbyte föreslår vi ett undantag i hälso- och sjukvårdsdatalagen som innebär att vårdgivare, under vissa förutsättningar, kan göra personuppgifter tillgängliga i system för sammanhållen journalföring även om patienten inte kan ta emot information och ta ställning till åtgärden.

För att en vårdgivare, som står i begrepp att ge patienten vård och behandling, ska få ta del av uppgifter i system för sammanhållen journalföring krävs idag att patienten lämnar ett särskilt samtycke till själva åtkomsten och användandet av uppgifterna. Utredningen föreslår att kravet på särskilt samtycke till personuppgiftsbehandlingen inte överförs till hälso- och sjukvårdsdatalagen. I stället ska patientens samtycke till själva hälso- och sjukvårdsinsatserna utgöra grunden för vilka uppgifter hos andra vårdgivare som det är tillåtet att ta del av. Om patienten har kommit överens med vårdgivaren om en viss hälso- och sjukvårdsinsats, t.ex. ordination av läkemedel mot sömnproblem, ska hälso- och sjukvårdspersonalen även få ta del av den information om patienten som behövs för att med en hög patientsäkerhet kunna fatta bästa möjliga beslut om patientens behandling. Patienten ska därmed fortfarande på en övergripande nivå förfoga över vilka uppgifter som hälso- och sjukvårdspersonalen får ta del av. Eftersom hälso- och sjukvårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens självbestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Yrkesutövaren får bara ta del av de uppgifter som behövs för att kunna ge den vård som patienten vill ha. Förslaget innebär alltså ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.

En konsekvens av detta förslag är att det blir möjligt att ta del av uppgifter genom sammanhållen journalföring även i samband med vård och behandling av en person som har nedsatt beslutsförmåga. Om hälso- och sjukvårdspersonalen anser att en viss vårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att den aktuella vården ska kunna ges på ett patientsäkert sätt och med hög kvalitet.

SOU 2014:23 Sammanfattning

35

Vidare föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.

Nya former för informationsutbyte inom socialtjänsten

Även när det gäller informationshanteringen inom socialtjänsten finns anledning att göra den mer ändamålsenlig genom att låta informationen följa individen i stället för organisationsgränserna.

Utredningen anser att socialtjänsten behöver ha legala förutsättningar för en ändamålsenlig samverkan i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. De olika utförarna av socialtjänst behöver en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för att tillgodose individens behov av kontinuitet kan tillgång till rätt information i rätt tid vara avgörande.

Utredningen föreslår därför att det i en kommun som väljer att organisera socialtjänsten i flera olika nämnder och kommunalägda bolag ska vara tillåtet att utbyta personuppgifter mellan nämnderna och bolagen genom direktåtkomst. De kommuner som i dag har organiserat socialtjänsten i en och samma nämnd, har redan stora möjligheter till ett sådant ändamålsenligt och effektivt informationsutbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar om att öka förutsättningarna för en jämlik socialtjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i de olika kommunerna ser ut.

För att ytterligare förbättra möjligheterna till ändamålsenliga arbetssätt inom socialtjänsten föreslår utredningen att det under vissa förutsättningar även ska vara tillåtet med direktåtkomst mellan olika utförare av socialtjänst oavsett om de är kommunala eller privata. Denna form av direktåtkomst ska endast omfatta det informationsutbyte som behövs i samband med genomförandefasen i socialtjänsten, exempelvis när den enskilde får insatser genomförda av två eller flera utförare. Med hänsyn till behovet av självbestämmande och skydd för den personliga integriteten ska den enskildes samtycke krävas för informationsutbytet.

Sammanfattning SOU 2014:23

36

Med våra förslag får alla kommuner – oavsett hur myndighetsstrukturen ser ut och oavsett i vilken mån privata utförare av socialtjänst anlitas – samma möjlighet att arrangera informationshanteringen inom socialtjänsten på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, får utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretessprövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, d.v.s. att samma uppgift behöver dokumenteras flera gånger på flera ställen, minskar.

Genom utredningens förslag får socialtjänsten motsvarande möjligheter att hantera och utbyta information som hälso- och sjukvården har haft sedan 2008.

Direktåtkomst mellan hälso- och sjukvård och socialtjänst och gemensam vård- och omsorgsjournal

Många individer har idag behov av insatser både från hälso- och sjukvården och socialtjänsten. Inte minst för äldre personer, personer med funktionshinder, personer med missbruks- eller beroendeproblematik eller personer med psykisk ohälsa krävs ofta en omfattande samverkan över organisatoriska och professionella gränser för att den enskilde individen ska få sina behov av hälso- och sjukvård och socialtjänst tillgodosedda. Det har även under en längre tid införts nya rättsliga krav på samverkan mellan huvudmännen i dessa frågor. För att sådan samverkan ska fungera och leda till bättre resultat för den enskilde måste det finnas rättsliga förutsättningar som medger en ömsesidig tillgång till relevant information över vårdgivargränser, utförargränser och huvudmannagränser.

En utgångspunkt för utredningen är att regelverket om informationshantering ska ge verksamheterna möjlighet att arbeta integrerat fullt ut för att så långt som möjligt kunna använda den gemensamma kompetensen för att ge god och säker vård och omsorg till den enskilde. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Där är vi inte idag.

Trots att det exempelvis i samband med Ädelreformen uttalades att många personer har så sammansatta behov av hälso- och sjuk-

SOU 2014:23 Sammanfattning

37

vård och socialtjänst att det inte går att skilja på vad som är vad, innebär dagens regler för informationshantering att yrkesutövare i vård och omsorg ändå måste ta ställning till dessa svåra gränsdragningsfrågor och dela upp dokumentation om en och samma individ i två olika delar. Beroende på var uppgifter om den enskilde sedan dokumenteras uppstår risker genom bristande tillgång till relevant information och avsaknad av en samlad bild av individens hälsosituation. Utredningen lägger därför förslag om ett regelverk som i större utsträckning utgår ifrån individen och individens behov istället för organisations- och verksamhetsgränser.

För att tillgodose behoven i en sådan komplex verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket tillhandahålla flera olika möjligheter till en mer effektiv, ändamålsenlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som ger de bästa förutsättningarna för att kunna tillgodose enskildas behov av en god och säker vård och omsorg. Utredningen föreslår därför att vårdgivare i hälso- och sjukvården och utförare i socialtjänsten ska kunna välja form för gemensam informationshantering; antingen i form av direktåtkomst mellan hälso- och sjukvård och socialtjänst eller i form av en gemensam vård- och omsorgsjournal.

Utredningens förslag innebär att t.ex. ungdomsmottagningar kan välja att använda möjligheten till direktåtkomst mellan hälso- och sjukvård och socialtjänst som ett sätt att utbyta uppgifter mellan de olika aktörer som deltar i insatserna för den unge. Det kan vara en ändamålsenlig form för informationshantering i den verksamheten så att de unga får insatser av god kvalitet. Genom förslaget blir det även möjligt för en primärvårdsläkare att med direktåtkomst ta del av det som dokumenterats om den äldre på ett särskilt boende i form av exempelvis hur den äldre sovit, ätit, druckit och i övrigt mått. Sådant som kan vara helt avgörande vid exempelvis ordination av läkemedel eller utvärdering av redan ordinerade behandlingar.

Andra verksamheter som bedrivs integrerat mellan hälso- och sjukvård och socialtjänst kan ha så stora behov av att dokumentera på ett samlat sätt att en gemensam vård- och omsorgsjournal är ett bättre alternativ än direktåtkomst. Utredningen gör bedömningen att det inte minst i särskilda boenden för äldre kan förenkla och förbättra informationsförsörjningen för de deltagande aktörerna om alla dokumenterar i en gemensam vård- och omsorgsjournal. På så sätt

Sammanfattning SOU 2014:23

38

skapas bättre förutsättningar för en god och säker verksamhet för de äldre som får sina behov av vård och omsorg tillgodosedda på boendet. Innehållet i en gemensam vård- och omsorgsdokumentation ska motsvara både det som ska dokumenteras i en patientjournal och det som ska noteras i en social journal.

Den enskilde individens tillgång till uppgifter om sig själv och möjligheterna att förfoga över dessa

Utredningens utgångspunkt är att våra förslag ska stimulera en utveckling av fler e-tjänster som på olika sätt kan öka servicen och tillgängligheten gentemot medborgarna samt stärka individens inflytande och delaktighet i hälso- och sjukvården och socialtjänsten. Enligt gällande rätt får en vårdgivare ge en patient direktåtkomst uppgifter om sig själv. Vi föreslår även uttryckliga bestämmelser som ger den som bedriver verksamhet inom socialtjänsten möjlighet att ge individen direktåtkomst till sina personuppgifter. Individen ska även få medges direktåtkomst till dokumentation om den åtkomst som förekommit (loggar).

Normalt gäller inte sekretess till skydd för en enskild individ i förhållande till individen själv. I hälso- och sjukvården finns dock bestämmelser i offentlighets- och sekretesslagen (2009:400) samt patientsäkerhetslagen (2010:659) som i vissa fall medför att sekretess eller tystnadsplikt kan bedömas föreligga även mot individen själv. Motsvarande sekretessbestämmelse mot individen själv finns inte för uppgifter inom socialtjänsten.

Utredningen anser att bestämmelsen om sekretess mot patienten själv är inte är förenlig med ett tidsenligt förhållande mellan hälso- och sjukvården och patienten. Eventuella risker med att ta bort sekretessen väger förhållandevis lätt jämfört med de vinster det för med sig, såväl vad gäller ökade fundamentala patienträttigheter som möjligheten för patienten att med hjälp av effektiva och säkra e-tjänster kunna ta del av viktig information om sitt hälsotillstånd. Förslaget medför också att dessa möjligheter kommer att vara likvärdiga avseende uppgifter såväl inom hälso- och sjukvården som socialtjänsten. Vi föreslår därför att bestämmelserna om sekretess och tystnadsplikt mot patientens själv tas bort. Förslaget innebär ingen förändring i vilka övriga uppgifter som får lämnas ut till en enskild. Exempelvis kan det, precis som idag, föreligga sekretess för uppgifter om andra personer som nämns i den enskildes patientjournal eller personakt i socialtjänsten.

SOU 2014:23 Sammanfattning

39

Vidare bedömer utredningen att många individer kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får närstående bättre förutsättningar att vara ett stöd i frågor om hälso- och sjukvård och socialtjänst samt får ökade möjligheter att bevaka den enskildes intressen. Hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att individen kan förfoga över sin direktåtkomst. Det ska vara möjligt för individen att låta någon annan ta del av korrekta och aktuella uppgifter på ett ändamålsenligt sätt. Det kan exempelvis vara värdefullt när närstående hjälper till att stödja familjemedlemmar eller andra med sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara behjälplig med individens medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att hjälpa till med att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om individen.

En informationshantering som stödjer tillgänglighet, säkerhet och skyddet för den personliga integriteten

Förtydligat ansvar för hantering av personuppgifter inom hälso- och sjukvården och socialtjänsten

Utredningen föreslår att socialtjänstdatalagen och hälso- och sjukvårdsdatalagen ska innehålla flera bestämmelser om ansvaret för en säker och ändamålsenlig hantering av personuppgifter. Det handlar både om att se till att uppgifter finns tillgängliga och att uppgifter hanteras så att obehöriga, vare sig det är inom eller utom verksamheten, inte kan komma åt dem. I de respektive lagarna ska finnas flera bestämmelser som uttrycker vad som innefattas i detta ansvar för säker hantering av personuppgifter.

En vårdgivare och den som bedriver verksamhet inom socialtjänsten är ytterst ansvariga för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete. Själva syftet med dokumentationen går förlorad om uppgifterna inte finns tillgängliga där de behövs, exempelvis för att se till att enskildas behov tillgodoses. Därför måste de ansvariga

Sammanfattning SOU 2014:23

40

vara medvetna om sitt ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.

Mot bakgrund av behovet av ett starkt skydd för den personliga integriteten ska även uttryckas ett ansvar för att uppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem och för att överföring av uppgifter görs på ett säkert sätt så att ingen obehörig kan ta del av dem.

Krav på behörighetsstyrning och åtkomstkontroll

På socialtjänstens område saknas idag, till skillnad mot hälso- och sjukvården, uttryckliga regler om krav på att anpassa yrkesutövarnas behörigheter för elektronisk åtkomst till uppgifter om enskilda efter de behov av uppgifter som yrkesutövaren har för att kunna utföra sitt arbete. Det saknas även uttryckliga bestämmelser om krav på loggning och kontroll av att ingen otillåten åtkomst till uppgifter om enskilda har förekommit. Med hänsyn till behovet av skydd för den personliga integriteten ska det både i socialtjänstdatalagen och i hälso- och sjukvårdsdatalagen finnas tydliga bestämmelser om krav på behörighetsstyrning och åtkomstkontroll. Yrkesutövare i hälso- och sjukvården och socialtjänsten ska så långt möjligt ha en behörighet som är begränsad och anpassad till vad som behövs för att en god och säker hälso- och sjukvård eller socialtjänst kan utföras.

Genom utredningens förslag tydliggörs exempelvis att det, även om sekretessen mellan myndigheter i socialtjänsten i samma kommun tas bort, alltid finns ett ansvar för den som bedriver verksamheten att se till att den interna elektroniska tillgången till uppgifter inte är större än den enskilda yrkesutövarens behov.

Yrkesutövarens ansvar – inre sekretess

I socialtjänstdatalagen ska, på motsvarande sätt som redan idag gäller inom hälso- och sjukvården, tydliggöras när en yrkesutövare får ta del av uppgifter om enskilda individer. Den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom

SOU 2014:23 Sammanfattning

41

socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen, exempelvis för att handlägga ärenden om enskilda. Motsvarande bestämmelse överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.

Skydd för personuppgifter vid samverkan mellan flera personuppgiftsansvariga

I nuvarande regelverk saknas uttryckliga krav som anger hur vårdgivare inom hälso- och sjukvården eller utförare i socialtjänsten som samverkar kring behandling av känsliga personuppgifter ska agera tillsammans för att se till att uppgifterna skyddas. Enligt utredningens uppfattning är det viktigt att samverkande aktörer tar ett gemensamt ansvar för informationssäkerheten och skyddet för personuppgifterna, så att inte integritetsförluster uppstår för enskilda.

Mot den bakgrunden föreslås att samverkande aktörer inom hälso- och sjukvård och socialtjänst som medger varandra direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.

Krav på informationssystemens utformning

I de båda lagarna som föreslås ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. Dessutom ska informationssystemen vara utformade på ett sådant sätt att de enskildas integritetsskydd tillgodoses.

Sammanfattning SOU 2014:23

42

En informationshantering som bidrar till bättre resultat för individer i behov av hälso- och sjukvård och socialtjänst

Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling inom en huvudmans ansvarsområde i hälso- och sjukvården

Genom vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde blir förutsättningarna för informationshantering i den individinriktade patientverksamheten lika för alla vårdgivare inom detta område, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Det blir alltså möjligt hålla ihop informationshanteringen på ett lokalt och regionalt plan, såväl i den individinriktade verksamheten som när det gäller olika övergripande kvalitets- och förbättringssträvanden i landstinget eller kommunen. Inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen nu kunna följa patienten på ett enkelt och säkert sätt. Utredningen anser att informationen i verksamheterna ska kunna bidra till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad.

För att ytterligare förstärka dessa möjligheter föreslår utredningen en tystnadspliktsbrytande uppgiftsskyldighet som gör att en privat vårdgivare kan lämna ut de uppgifter till huvudmannen som behövs för att denne ska kunna leva upp till sitt ansvar som huvudman enligt hälso- och sjukvårdslagen (1982:763). Förslaget syftar till att förbättra kommuner och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvaret för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vårdgivare med offentlig finansiering. Det blir möjligt att följa upp patientens vårdprocesser oavsett hur vården i landstinget eller kommunen är organiserat. Det ger också förutsättningar för alla huvudmän att planera och erbjuda preventiva insatser på ett jämlikt sätt till alla invånare.

SOU 2014:23 Sammanfattning

43

Viss kvalitetssäkring möjlig i system för sammanhållen journalföring

Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är idag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten av sina insatser föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.

Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling i socialtjänsten

Våra förslag till förbättrade möjligheter till informationsutbyte inom socialtjänsten ger på flera olika sätt bättre möjligheter till kvalitetssäkring och verksamhetsuppföljning inom socialtjänstens område. Förslagen ger ökade möjligheter till ett lokalt kvalitetsarbete exempelvis hos enskilda utförare av socialtjänst, genom att det i socialtjänstdatalagen tydliggörs att enskilda verksamheter får behandla personuppgifter för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Detta gäller redan för de offentliga verksamheterna idag och med utredningens förslag får alla som bedriver socialtjänst samma möjligheter.

Dessutom ger flera av utredningens förslag ökade möjligheter till ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. Genom förslaget att ta bort sekretessgränserna mellan olika nämnder på socialtjänstens område i en och samma kommun, ges nya möjligheter för kommunen att göra en mer samlad verksamhetsuppföljning och kvalitetssäkring. Förslaget innebär att

Sammanfattning SOU 2014:23

44

alla kommuner, oavsett hur de valt att organisera sin myndighetsstruktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i den socialtjänst invånarna erbjuds.

Vidare föreslår utredningen att en kommun, som i egenskap av huvudman ansvarar för socialtjänsten, ska ha samma möjligheter att följa upp kvaliteten i socialtjänsten oavsett om den enskildes insatser utförs av en privat eller av en offentlig utförare. För att möjliggöra detta föreslås en tystnadspliktsbrytande uppgiftsskyldighet för enskilda verksamheter på socialtjänstens område att lämna ut de uppgifter som den ansvariga kommunen behöver. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för det systematiska kvalitetsarbetet, men gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänstverksamhet som kommunen ansvarar för gentemot dess invånare.

I praktiken innebär våra förslag även förutsättningar för att implementera system för kvalitetssäkring och uppföljning som gör det möjligt att följa upp och jämföra socialtjänstens verksamhet i olika delar av landet.

Förbättrad möjlighet att använda nationella kvalitetsregister för att kvalitetssäkra den hälso- och sjukvård som ges av flera vårdgivare

Många patienter får idag sitt behov av hälso- och sjukvård tillgodosett av flera olika vårdgivare. Det är inte ovanligt exempelvis att en patient med cancer vårdas växelvis på ett sjukhus i det egna landstinget och växelvis på ett universitetssjukhus i ett annat landsting. Även den hälso-och sjukvård som riktar sig till äldre, personer med missbruks- och beroendeproblematik och till personer med psykisk ohälsa är ett typexempel på processer som går över vårdgivargränser.

Det är viktigt att lagstiftningen tillhandahåller goda möjligheter för vårdgivare att ta ansvar för och kvalitetssäkra den hälso- och sjukvård som patienter får i dessa situationer. Patienter ska inte riskera att få en osäkrare vård eller vård av lägre kvalitet bara för att flera olika vårdgivare är iblandade i patientens process. Utredningen föreslår därför förbättrade möjligheter att använda nationella eller regionala kvalitetsregister för att kvalitetssäkra den hälso-och sjukvård som patienten erbjuds och som utförs av flera vårdgivare. En vårdgivare ska få ha direktåtkomst till sådana uppgifter om en patient som vård-

SOU 2014:23 Sammanfattning

45

givaren själv registrerat i ett kvalitetsregister och till uppgifter om samma patient som andra vårdgivare registrerat i samma register.

Säkra läkemedelsförskrivningar och tillgång till varningsinformation

Läkemedelsbehandlingar är förenade med stora risker. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet. Det behov av vård som orsakas av felaktigt använda läkemedel utgör en allt större del av de samlade hälso- och sjukvårdskostnaderna. Målet och intentionen med en samlad information om patientens läkemedelsbehandling är att kunna ge honom eller henne en adekvat och anpassad behandling utifrån det tillstånd och det behov av vård som patienten har. Det förutsätter att den som exempelvis ska ordinera ett läkemedel har tillgång till en samlad information om patientens aktuella läkemedelsbehandling.

För patientens liv och hälsa är det även särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger överkänsligheten. För en patient som exempelvis är så överkänslig mot vissa läkemedel att en felaktig läkemedelsordination kan leda till bestående eller allvarliga men eller till patientens död, är hälso- och sjukvårdspersonalens tillgång till sådan varningsinformation helt nödvändig.

Utredningen föreslår därför att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga för en vårdgivare så att uppgifterna kan nås i de situationer det behövs för patientens vård. En patient kan därmed inte motsätta sig att sådan information finns tekniskt åtkomlig. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkesutövares åtkomst i journalsystemens läkemedelslistor även i stort överensstämmande med vad som gäller för åtkomst till motsvarande uppgifter i receptregistret och läkemedelsförteckningen.

Sammanfattning SOU 2014:23

46

En informationshantering som ger förutsättningar för forskning och kliniska prövningar

Utredningen föreslår en möjlighet till direktåtkomst för källdatagranskning (monitorering) vid forskning inom hälso- och sjukvården. Sådant utlämnande får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen. Denna form av direktåtkomst är integritetsvänlig eftersom monitoreringen kan bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och genomföras med hjälp av moderna tekniska lösningar.

Utredningen föreslår även att det av hälso- och sjukvårdsdatalagens ändamålsbestämmelse uttryckligen ska framgå att personuppgiftsbehandling för att antalsberäkna möjliga deltagare i forskning inom hälso- och sjukvården är tillåtet. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i en forskningsstudie, om studien är godkänd av regional eller central etikprövningsnämnd. Förslaget innefattar även ett krav på vårdgivare att ta fram närmare riktlinjer som beskriver hur den här personuppgiftsbehandlingen ska gå till. Det bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet att antalsberäkna och identifiera personer inför kliniska prövningar.

En informationshantering som stödjer yrkesutövare inom hälso- och sjukvård och socialtjänst i deras arbete

Kunskap, kompetens, ledning och styrning

Utredningen har uppfattat att det såväl inom hälso- och sjukvården som socialtjänsten finns ett behov av ökad kunskap och kompetens när det gäller förutsättningarna för att hantera och utbyta information. Det finns såväl en osäkerhet om vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som finns och är tillåtna enligt lagstiftningen.

Det finns därför behov av en mer aktiv och målmedveten ledning och styrning i dessa frågor. Vi bedömer att behovet av kompetensutveckling och kunskapsstyrning på detta område finns

SOU 2014:23 Sammanfattning

47

såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården och socialtjänsten. Vårdgivare och de som bedriver verksamhet inom socialtjänsten behöver bygga upp strukturer som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Dessa ansvariga aktörer måste förmedla till medborgarna och till personalen på vilket sätt de vill använda information i verksamheten, vilka verktyg som ska användas i detta syfte, hur säkerhetskraven ska uppfyllas och vad verksamheterna vill åstadkomma med informationshanteringen.

Mot denna bakgrund har utredningen i en delredovisning (bilaga 4) beskrivit de möjligheter som befintlig lagstiftning erbjuder för att hantera uppgifter inom och mellan hälso- och sjukvård och socialtjänst. I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning har vi valt att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg

Ändamålsenliga former för informationsutbyte

Utredningen olika förslag för att underlätta ett säkert och ändamålsenligt informationsutbyte vid samverkan inom och mellan hälso- och sjukvård och socialtjänst kommer att ge yrkesutövarna bättre förutsättningar att ge enskilda individer god och säker hälso- och sjukvård och socialtjänst och på det sättet en större trygghet i arbetssituationen. De rättsliga förutsättningarna för samverkan avseende informationshanteringen kommer att bli mer överensstämmande med de krav på samverkan runt individen som finns i lagstiftningen.

Rätt information på rätt plats i rätt tid

Utredningen har ovan redovisat flera förslag som medför ökade förutsättningar för yrkesverksamma att utföra sitt arbete på ett sätt som ger bästa möjliga resultat för individer i behov av hälso- och sjukvård eller socialtjänst. Utöver det kan även nämnas att hälso-

Sammanfattning SOU 2014:23

48

och sjukvårdsdatalagen och socialtjänstdatalagen föreslås innehålla bestämmelser om vad som gäller för yrkesutövarnas åtkomst till uppgifter om enskilda. Det ska bland annat vara tydligt att vårdgivaren och den som bedriver verksamhet inom socialtjänsten ansvarar för att anpassa och begränsa behörigheten för åtkomst till vad som behövs för att den som arbetar i hälso- och sjukvården eller socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Genom en välutvecklad behörighetsstyrning kan en yrkesutövare snabbt och säkert få tillgång till den information som behövs för att fatta bästa möjliga beslut kring en individ, utan att samtidigt exponeras för uppgifter som är oväsentliga i sammanhanget.

Utredningen föreslår även att det i de båda lagarna ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. För att medborgare ska få en god och säker hälso- och sjukvård och socialtjänst krävs att de som ansvarar för verksamheten även tar ett tydligt ansvar för att se till att yrkesutövarna i praktiken får de verktyg och förutsättningar för informationshantering som behövs för att de mål som gäller för verksamheten ska kunna uppnås.

Ett tydligare ansvar för patientjournalen och dess innehåll

Det ska framgå av hälso- och sjukvårdsdatalagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vårdgivaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att uppgifter används på ett sådant sätt att de bidrar till en god och säker vård.

De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är därför nödvändigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.

Den som för journal ansvarar idag för sina uppgifter och att de är korrekta, oavsett om en administrativ kvittens (signering) är synlig eller inte. Utredningen föreslår att signeringskravet, som det

SOU 2014:23 Sammanfattning

49

är utformat i dag, ska tas bort. Av lagen ska följa att den som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. Denna kontroll ska antingen göras i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in. Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsningen gjorts. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet.

Vårdgivaren ska ha tydliga rutiner för hur ansvaret för uppgifternas riktighet ska upprätthållas i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verksamheter och vårdgivare att det finns tillit till att dokumentationen är korrekt och användbar. Vårt förslag innebär att såväl vårdgivaren som yrkesutövaren även fortsättningsvis har ett ansvar för att uppgifterna i en patientjournal är korrekta.

51

1 Vårt uppdrag och arbete

1.1 Vårt uppdrag

Regeringen beslutade den 15 december 2011 (dir. 2011:111, bilaga 1) att tillsätta en särskild utredare för att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.

Utgångspunkter för uppdraget ska bland annat vara att efter en avvägning mellan verksamheternas behov av information och skyddet för den enskildes personliga integritet kartlägga vilken typ av information som bedöms vara nödvändig att behandla genom till exempel utlämnande genom direktåtkomst. I uppdraget ingår att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I uppdraget ingår även att peka ut vilka hinder för en sådan informationshantering som finns i dag och i förekommande falla i vilka lagar dessa hinder finns. Med utgångspunkt från kartläggningen och de identifierade förutsättningarna och hindren ska utredaren föreslå sådana lagstiftningsåtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter för den aktuella behandlingen inom eller över både organisatoriska och nationella gränser.

I utredningens uppdrag ingår bland annat att utreda hur personuppgiftsansvaret ska regleras i framtiden och då även personuppgiftsansvaret för känsliga personuppgifter som den enskilde själv rapporterar in. Utredningen ska också analyser vilka hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut personuppgifter till andra länder. Utredningen ska även se över om det är lämpligt att införa regler i patientdatalagen (2008:355) beträffande personer som saknar förmåga att motsätta sig eller samtycka till nödvändig behandling av personuppgifter. I upp-

Vårt uppdrag och arbete SOU 2014:23

52

draget ingår även att undersöka om det är lämpligt att införa sekretessbrytande bestämmelser i socialtjänsten motsvarande de som redan gäller i hälso- och sjukvården.

Vidare ska utredningen föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassa till ändamål som gäller för övriga hälsodataregister. Slutligen ska utredningen överväga om det bör införas en möjlighet för vårdgivare att ansöka om journalförstöring och, om det behövs lämna förslag till sådan reglering. Utredaren har även möjlighet att ta upp frågor som inte nämns i direktivet men som denne anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredställande sätt.

Utredaren fick även som deluppdrag att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).

I tilläggsdirektiv den 29 mars 2012 (dir. 2012:23, bilaga 2) beslutade regeringen att klargöra och delvis förändra gränsdragningen mellan utredningen och Utredningen om stärkt ställning för patienten genom nu patientlagstiftning (S 2011:03, dir. 2001:25)och att förlänga tiden för överlämnande av delbetänkandet avseende utredningsfrågorna om register över hälso- och sjukvårdspersonal (HOSP-registret) till den 31 maj 2012.

Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.

I tilläggsdirektiv den 2 maj 2013 (dir. 2013:43, bilaga 3) beslutade regeringen att förkorta tiden för den del av uppdraget som handlar om att utreda om det är lämpligt att införa regler i patientdatalagen beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter så att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. Denna del av uppdraget skulle redovisas i ett delbetänkande senast den 5 juni 2013. I den del som av uppdraget som handlar om att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten skulle utredningen i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen skulle lämnas till regeringen senast den 31 december 2013. För huvuddelen av uppdraget förlängdes utredningstiden att redovisas senast den 30 april 2014.

SOU 2014:23 Vårt uppdrag och arbete

53

Utredningen överlämnade i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.

Den 31 december 2013 överlämnade utredningen en delredovisning om vilka möjligheter som gällande rätt ger för att kunna hantera och utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.

1.2 Utredningens arbete

Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).

Det övergripande uppdraget är enligt direktivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningen har på olika sätt inhämtat kunskap och fått del av erfarenheter om de frågor som behandlas i utredningens arbete. Arbetet har bedrivits öppet och utåtriktat och har fortlöpande kommunicerats med berörda statliga myndigheter, kommuner, landsting, Sveriges Kommuner och Landsting, privata utförare och organisationer.

Utredningen har genomfört ett flertal möten och studiebesök i landsting och kommuner. Studiebesök har även gjorts hos privata vårdgivare, privata utförare av socialtjänst och hos olika organisationer.

Utredningen har haft möten och dialoger med Datainspektionen, Socialstyrelsen, Sveriges Kommuner och Landsting och Inspektionen för vård och omsorg. Samtal har ägt rum med eHälsomyndigheten (f.d. Apotekens Service Aktiebolag) kring utvecklingen av det personliga hälsokontot, Hälsa för mig.

Utredningen har även haft ett stort antal möten med företrädare för olika organisationer, vårdgivare och huvudmän. Kontakter har även tagits med vård- och omsorgsproducenter och enskilda patientorganisationer, yrkesföreningar, fackliga organisationer, patient- och brukarorganisationer och arbetsgivare- och intresseorganisationer. Flera olika typer av referensgruppsmöten har arrangerats på initiativ av utredningen.

Utredningen har även aktivt deltagit och hållit föredrag vid ett stort antal konferenser och seminarier såsom bland annat Almedalen, Normkonferansen (Norge), Senior i Centrum, Vitalis, konferensen

Vårt uppdrag och arbete SOU 2014:23

54

för Nationell Ehälsa, Datainspektionens konferens om patientdatalagen, konferensen Dagar om Lagar, Sveriges Kommuner och Landstings konferens Barnen och lagen, Nationella rådslaget om aktiv hälsostyrning, Nationella Kvalitetsregisterkonferensen, Stockholms läns landstings seminarium om informationssäkerhet och seminarier arrangerade av Svenska Läkaresällskapet.

Utredningen har vid en studieresa till USA tagit del av erfarenheter från hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare.

Utredningens arbete har bedrivits med den övergripande målsättningen att skapa förutsättningar för en informationshantering som bidrar till bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst. I detta har vi inriktat arbetet på att

• särskilt beakta vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker vård och omsorg,

• se över hur behandlingen av personuppgifter regleras inom hälso- och sjukvården och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering,

• se över hur behandlingen av personuppgifter regleras inom socialtjänsten och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering, och

• möjliggöra ett utökat utbyte av personuppgifter mellan socialtjänsten och hälso- och sjukvården.

1.2.1 Sakkunnig- och expertgrupp

Utöver utredningens sekretariat har en expertgrupp deltagit i utredningsarbetet. I februari 2012 tillsatts en expertgrupp med representanter från berörda departement, myndigheter och organisationer. Till gruppen förordnades sakkunniga från Socialdepartementet, Justitiedepartementet och Utbildningsdepartementet. Därutöver förordnades experter från Sveriges Kommuner och Landsting (SKL), Socialstyrelsen, Inspektionen för vård och omsorg, Datainspektionen, Statens Medicinsk-Etiska Råd (SMER), Famna, Karolinska Universitetssjukhuset, Vårdföretagarna, Norrköpings kommun, Landstinget i Jämtland, Norrbottens läns landsting.

SOU 2014:23 Vårt uppdrag och arbete

55

Expertgruppen har träffats för sammanträden vid 10 tillfällen under utredningens arbete. Under utredningstiden har även två tvådagars internatsammanträde hållits.

1.2.2 Samråd med statliga utredningar

Utredningen har under arbetets gång haft dialog med ett stor antal statliga utredningar, bland annat följande.

• Statistikutredningen 2012 (Fi 2011:05).

• Informationshanteringsutredningen (Ju 2011:11).

• Statens vård- och omsorgsutredning (S 2011:01).

• Läkemedels- och apoteksutredningen (S 2011:07).

• Patientmaktsutredningen (S 2011:03).

• Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskning (S 2012:06).

• Utredningen om en kommunallag för framtiden (Fi 2012:07).

• Utredningen om tillgänglig och säker information i hälso- och sjukvård och socialtjänst (E-hälsokommittén) (S 2013:17).

• Utredningen om framtida valfrihetssystem inom socialtjänsten

(S 2012:08).

• Utredningen om nationell samordning av kliniska studier

(U 2013:04).

• E-delegationen (N Fi 2009:01).

• Utredningen en nationell samordnare för effektivare resursutnyttjande inom hälso- och sjukvården (S 2013:14).

1.2.3 Metodstöd m.m.

I utredningsuppdraget har vi sett behov av en tankemodell för hur man kan göra avvägningar mellan de olika etiska värden som representeras av patientintegritet och patientsäkerhet. Prioriteringscentrum vid Linköpings universitet har fått i uppdrag att ta fram en sådan modell, vilken presenteras i rapporten Att prioritera mellan olika värden – En modell för avvägningar mellan

Vårt uppdrag och arbete SOU 2014:23

56

patientintegritet, patientsäkerhet och andra etiska värde inom hälso- och sjukvården (Prioriteringscentrums rapportserie 2013:4) Arbetet har genomförts av professor Lars Sandman i dialog med företrädare för utredningen, medarbetare inom Prioriteringscentrum samt den expertgrupp kring behörighet, spärr och logg inom ramen för patientdatalagen som finns i Västra Götalandsregionen.

1.2.4 Delbetänkandet Bättre behörighetskontroll

Den 21 maj 2012 överlämnade utredningen delbetänkandet Bättre behörighetskontroll (SOU 2012:42).

Legitimation för yrke inom hälso- och sjukvården är förbehållen sådana yrkesgrupper som har kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Socialstyrelsen är ansvarig för ett register (HOSP-registret) över dessa yrkesutövare.

Flera olika intressenter frågar efter uppgifter ur registret. Det grundläggande syftet med att hämta in uppgifter om hälso- och sjukvårdspersonalens behörighet är gemensamt; att på olika sätt trygga patientens säkerhet.

Utredningen lämnade i betänkandet olika förslag för att möjliggöra direktåtkomst till uppgifter registret för allmänheten, vårdgivare, Apotekens Service AB (i dag eHälsomyndigheten) och Transportstyrelsen.

1.2.5 Delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga

Den 5 juni 2013 överlämnade utredningen delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45).

Dagens regelverk om informationshantering i hälso- och sjukvården medför att personer som inte själv kan ta ställning till frågor om informationsutbyte riskerar att få vård på osäkrare villkor och av lägre kvalitet än personer som har förmåga att ta ställning i dessa frågor.

Utredningen lämnade i betänkandet förslag till ändringar i patientdatalagen för att göra det möjligt för vuxna med nedsatt

SOU 2014:23 Vårt uppdrag och arbete

57

beslutsförmåga att dra nytta av fördelarna med sammanhållen journalföring.

Utredningen föreslog att vårdgivare ska få göra uppgifterna tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att förstå information om sammanhållen journalföring och ta ställning till personuppgiftsbehandlingen. Av respekt för den enskildes rätt till självbestämmande och integritetsskydd får detta endast göras under förutsättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling. Om det för vårdgivaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring ska ett tillgängliggörande av uppgifter inte vara tillåtet. Sådana omständligheter kan exempelvis handla om att närstående lämnar välgrundad information om saken, exempelvis i samband med vårdplanering, inflyttning på särskilt boende eller inför planerad hälso- och sjukvård m.m. För hälso- och sjukvårdspersonalen handlar det således om att agera utifrån vad som är känt om den enskildes inställning och personalens bedömning av vad som är bäst för patienten.

Utredningen föreslog vidare att vårdgivare ska få en möjlighet att i enskilda situationer när patienten är i behov av vård ta del av vårddokumentation, t.ex. uppgifter om vilka läkemedel patienten har, som en annan vårdgivare gjort tillgängliga i system för sammanhållen journalföring, även om patienten inte endast tillfälligt saknar förmåga lämna samtycke till personuppgiftshanteringen. Av hänsyn till behovet av skydd för den personliga integriteten får personuppgiftsbehandlingen endast genomföras under förutsättning att uppgifterna kan antas ha betydelse för den vård och behandling som är nödvändig med hänsyn till patientens hälsotillstånd. Det handlar således om sådan informationshantering som behövs för att patienten i enskilda fall ska få bästa möjliga vård och omhändertagande.

När det gäller deltagande i nationella och regionala kvalitetsregister föreslog utredningen att det ska vara tillåtet för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till den information som lämnas om registreringen. Av hänsyn till behovet av skydd för den personliga integriteten bör sådan personuppgiftsbehandling endast få göras under förutsättning att den enskildes inställning till person-

Vårt uppdrag och arbete SOU 2014:23

58

uppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan personuppgiftsbehandling. Precis som när det gäller sammanhållen journalföring är patientens närstående en viktig informationskälla när personalen ska försöka utreda vilken inställning patienten kan tänkas ha i frågan. Om det med ledning av vad som går att ta reda på om den enskildes inställning framstår som uppenbart att patienten hade motsatt sig, får personuppgiftsbehandlingen inte genomföras.

Förslaget gör det möjligt att använda personuppgifter avseende en person som har nedsatt beslutsförmåga i kvalitetsregister i syfte att förbättra kvaliteten i vården, både för den enskilde patienten själv och för andra med liknande sjukdomar eller skador. Genom förslaget tillhandahålls därmed lika goda förutsättningar att förbättra vården, omhändertagandet och livskvaliteten för personer med nedsatt beslutsförmåga och deras närstående, som det finns för personer som kan ge uttryck för sin inställning i dessa frågor.

1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt

Den 31 december 2013 överlämnande utredningen en delredovisning som beskriver de möjligheter som befintlig lagstiftning ger för att kunna utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.1 Delredovisningen återfinns i bilaga 4.

Utredningen valde att ta fram ett praktiskt användbart verktyg i form av frågor och svar. Syftet med materialet är att ge stöd till den verksamhetsnära nivån i hälso- och sjukvården och socialtjänsten. Materialet speglar utredningen bedömning av gällande rätt den 31/12 2013.

Delredovisningen består av en omfattande powerpointpresentation med omkring 80 frågor och svar om informationshanteringen inom och mellan hälso- och sjukvården och socialtjänsten samt tre promemorior. De tre promemoriorna behandlar studerandes möjligheter att ta del av och använda patientuppgifter, möjligheten att använda patientuppgifter för att följa upp, säkra och utveckla resultatet för patienterna i hälso- och sjukvården och möjligheten att ta del av andra vårdgivares uppgifter i system för sammanhållen journalföring. Promemoriorna förklarar mer utför-

1 Delredovisningen återges i bilaga 4 till detta betänkande

SOU 2014:23 Vårt uppdrag och arbete

59

ligt vad som gäller för användningen av personuppgifter inom dessa områden än vad som är möjligt att inom ramen för en powerpointpresentationen.

Materialet med frågor och svar är fritt för var och en att använda och anpassa efter de behov och förutsättningar som finns i den egna verksamheten. Utredningen betraktar därför denna del av delredovisningen som ett råmaterial som kan förädlas och vidareutvecklas för att på ett ändamålsenligt sätt användas i samband med utbildning av personal, vid framtagandet av IT-stöd och när verksamhetsnära riktlinjer för informationshanteringen utformas m.m. Materialet finns att hämta på http://www.sou.gov.se/sb/d/18347.

Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.

1.3 Betänkandets disposition

Utredningens uppdrag består av tre huvuddelar; informationshanteringen inom hälso- och sjukvården, informationshanteringen inom socialtjänsten och informationshanteringen mellan hälso- och sjukvården och socialtjänsten. Utredningen har valt att låta betänkandets disposition ge uttryck för uppdragets olika delar.

I kapitel 4–17 redogör utredningen för utgångspunkter, överväganden och förslag rörande hälso- och sjukvårdens informationshantering. I kapitel 18–30 behandlar utredningen motsvarande frågor inom socialtjänstens område. Informationshanteringen rörande personer som har behov av både hälso- och sjukvård och socialtjänst avhandlas i kapitel 31 och 32. I kapitel 33 återfinns utredningens utgångspunkter, överväganden och förslag med avseende på hälso- och sjukvårdens och socialtjänstens ökade elektroniska kommunikation med medborgare. I kapitel 34–37 samlas överväganden och förslag rörande ett antal övriga frågor; internationellt informationsutbyte, patientrapporterade mått, Datainspektionens befogenheter och Socialstyrelsens läkemedelsregister.

Utredningens författningsförslag redovisas i kapitel 38. Frågor om ikraftträdande och konsekvenser av utredningens förslag återfinns i kapitel 39 och 40. I kapitel 41 återfinns författningskommentaren.

61

2 Rätt information på rätt plats i rätt tid – några utgångspunkter

2.1 Inledning

Den hälso- och sjukvård och socialtjänst som utförs av landsting, kommuner och privata utförare kräver ett tätt och fortlöpande samarbete både i frågor som rör enskilda individer och i frågor som rör planering, kvalitetssäkring, förebyggande hälsoarbete m.m. För att individer ska få säkra insatser av hög kvalitet behöver behörig personal ha tillgång till rätt uppgifter på rätt plats i rätt tid, över organisatoriska och andra gränser. Samtidigt har utmaningarna för att åstadkomma detta blivit än större i takt med en ökad mångfald av aktörer, en ökad valfrihet för de enskilda, en ökad subspecialisering och en ökad rörlighet hos dem som söker hälso- och sjukvård och socialtjänst. Utredningen har även vid möten med patient- och anhörigföreningar samt vid genomgångar av tillsynsrapporter kunnat konstatera att den information som behövs för att en individ ska få en god vård och omsorg inte alltid finns tillhands.

Utredningens övergripande uppdrag har varit att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder mot en sådan informationshantering som finns i dag. Den uttalade målsättningen har varit att skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst.

Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23

62

2.2 Individen och individens behov i centrum

Utredningen har i arbetet med att ta fram förslag för att skapa bättre förutsättningar för en ändamålsenlig informationshantering inom och mellan hälso- och sjukvård och socialtjänst särskilt beaktat vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker hälso- och sjukvård och socialtjänst.

I detta arbete har vår utgångspunkt varit att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar, exempelvis tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner och personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.

Om individen och hans eller hennes behov lyfts fram blir det uppenbart att informationshanteringen bör vara anpassad till hur det konkreta arbetet för att tillgodose behoven ser ut. I dag utgår de regler som gäller för hantering och utbyte av information från hur hälso- och sjukvården är organiserad i stället från hur informationen behöver vara tillgänglig för att erbjuda säkra insatser till individen.

Vi har försökt att lyfta blicken och så långt möjligt bortse från de organisatoriska aspekterna och i stället ställa oss frågan: hur skulle en sådan verksamhet bäst byggas upp om den inte behövde ta hänsyn till befintliga organisationsgränser eller befintlig lagstiftning om informationshantering? Under hela utredningens arbete har vi i samtal med utredningens experter och sakkunniga samt i möten med myndigheter och olika organisationer återvänt till denna frågeställning. För oss har det handlat om att försöka skapa en kreativitet som inte är begränsad av de hinder som uppställs i dag, utan som är inspirerad av den möjlighet som utredningen har fått att försöka skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer i hälso- och sjukvård och socialtjänst.

SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter

63

Om vi, för att endast ta ett exempel, tänker oss att vi skulle starta en verksamhet för äldre personer med omfattande behov av hälso- och sjukvård och socialtjänst, hur skulle den på bästa sätt utformas för att skapa förutsättningar för ett samarbete mellan olika kompetenser för att ge goda insatser till individen? Vi är inte övertygade om att vi skulle sträva efter att bygga upp en verksamhet med inbyggda sekretessgränser och olika hinder för utbyte av information mellan olika personalgrupper eller med olika hinder för att utbyta information med hjälp av modern teknik eller hinder genom krav på att information ska dokumenteras på olika ställen. I stället ser vi framför oss en verksamhet där all personal har goda förutsättningarna att ge den äldre personen de allra bästa insatserna. Det förutsätter att både dokumenterandet och utbytet av information mellan de som arbetar i verksamheten fungerar på ett ändamålsenligt sätt. Det måste vara tillåtet att ge information och ta emot information om den enskilde individen och hans eller hennes behov och vilka insatser som planeras och har genomförts. För att informationsutbytet ska kunna göras på ett snabbt, säkert och enkelt sätt behöver de som samarbetar kring den enskilde kunna använda modern informationsteknik.

Utredningen har med hjälp av denna ideala verksamhet som målbild försökt hitta lösningar som utgår från individens behov i stället från hur hälso- och sjukvården och socialtjänsten är organiserad i dag. Det handlar om att stödja en utveckling som ser till att rätt information finns på rätt plats i rätt tid.

Många faktorer måste samspela

Utredningen inser att många olika faktorer behöver samspela för att det ska vara möjligt att utveckla en informationshantering som bidrar till att skapa ännu bättre resultat för individer i hälso- och sjukvården och socialtjänsten. Förutom att lagstiftningen behöver stimulera en önskad utveckling finns även behov av att nödvändiga faktorer som ledning och styrning, professionskulturer, arbetssätt, IT-utveckling, informatik m.m. drar åt samma håll. Det vilar därmed ett stort ansvar på hälso- och sjukvårdens och socialtjänstens aktörer att tillsammans vidta åtgärder och arbeta tillsammans över organisatoriska och professionella gränser för att i praktiken kunna ta tillvara lagstiftningens intentioner.

Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23

64

2.3 Informationshantering som en integrerad del i verksamheten

Enligt utredningens erfarenheter finns i dagsläget inte alltid överensstämmelse mellan förutsättningarna för att ge hälso- och sjukvård eller socialtjänst och förutsättningarna för att hantera den information om individer som behövs för att vården eller insatserna ska kunna ges på bästa möjliga sätt. I våra möten med företrädare för olika verksamheter och med personal inom hälso-och sjukvården och socialtjänsten framkommer inte sällan att man upplever att regelverket för informationshantering inte stimulerar det faktiska arbetet.

Utredningen har i olika sammanhang försökt analysera detta. Problembilden är komplex och det finns utmaningar i flera olika dimensioner. En utmaning handlar sannolikt om det rättsliga regelverkets utformning. Det finns därför skäl att överväga hur regelverket kan utformas så att frågor om yrkesutövningen i hälso- och sjukvården och socialtjänsten vad gäller ställningstagandet till vård eller andra insatser, går hand i hand med ställningstaganden till informationshantering.

2.4 Informationshantering rörande personer med nedsatt beslutsförmåga

Personer med nedsatt beslutsförmåga behöver enligt utredningens uppfattning särskild uppmärksamhet från lagstiftarens sida. Begreppen integritet och självbestämmande är centrala både i hälso- och sjukvårdslagstiftningen och i socialtjänstlagstiftningen. Det grundläggande kravet är att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. De båda begreppen kompletterar varandra – från livets början till livets slut. Däremot kan förmågan att vara självbestämmande skifta under en människas liv, och den kan skifta från individ till individ. Personer som har förmåga att vara självbestämmande kan också bestämma över och försvara sin integritet. Om förmågan till självbestämmande sviktar är det nödvändigt att andra människor blir det skydd som bevarar och försvarar, upprättar och återupprättar integriteten.

Såväl vård- och behandlingsinsatser och insatser inom socialtjänsten liksom en stor del av informationshanteringen i dessa verksamheter förutsätter att den enskilde själv kan ta ställning och

SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter

65

ge uttryck för sin vilja i olika avseenden. Men personal inom hälso- och sjukvården och socialtjänsten möter varje dag personer som av en eller annan anledning tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin vilja att exempelvis få en viss vård- och behandlingsinsats eller hemtjänstinsats. En sådan person har ofta även nedsatt förmåga ta emot information och lämna samtycke till den informationshantering som sådana insatser ibland förutsätter.

Utredningen utgångspunkt är att en individ som av en eller annan anledning saknar möjlighet att samtycka till eller motsätta sig en viss informationshantering ska inte, varken nu eller i framtiden, få sämre insatser eller insatser på osäkrare villkor än andra individer.

Vi anser de förutsättningar som gäller för att kunna genomföra insatser i hälso- och sjukvården och socialtjänsten måste överensstämma med de som gäller för att hantera den information som behövs i en sådan situation. I situationer där det exempelvis är möjligt att ge vård till någon som inte kan samtycka till åtgärden, måste lagstiftningen även göra det möjligt för den som ska ge vården att ta del av den information som behövs för en god och säker vård.

Det handlar om nödvändiga förutsättningar för individens säkerhet och om personalens möjlighet att göra gott och undvika skada. Samtidigt måste både insatserna och informationshanteringen utföras med respekt för den enskildes självbestämmande och integritet.

2.5 Den tekniska utvecklingen ger nya möjligheter

Informationshanteringen i vård- och omsorgssektorn handlar i dag om så mycket mer än att yrkesutövare ska dokumentera sina bedömningar, ställningstaganden, åtgärder och beslut kring enskilda individer och att någon annan yrkesutövare i ett senare skede ska ta del av dessa för eventuellt vidare utredning och beslut.

Enligt utredningens uppfattning har vi gått från en tid när det många gånger har handlat om att dokumentera uppgifter om enskilda, till en tid när det i större utsträckning även handlar om

hur uppgifter som har dokumenterats kan användas för att skapa

bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna har bland annat medfört

Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23

66

att det i dag är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras.

Det kan handla om att med teknikens hjälp, på systemnivå, hantera information om enskilda individer tillsammans med inbyggda kunskapskällor för att få bättre stöd för beslut i mötet med patienter i hälso- och sjukvården eller individer i socialtjänsten. I stället för en manuell eller elektronisk hantering som förutsätter att en fysisk person tar del av all tillgänglig information för att försöka göra korrekta bedömningar, t.ex. avseende en patients risk att drabbas av en viss sjukdom, finns i dag möjligheter att utföra ett sådant arbete på systemnivå så att yrkesutövaren endast får del av själva resultatet och de rekommendationer som föranleds av det. Med hjälp av tillgänglig information om patienter, deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att förebygga ohälsa. En effektiv informationshantering kan göra att sjukdomar upptäcks tidigare och kan behandlas snabbare.

Sammantaget kan konstateras att informationshanteringen i hälso- och sjukvården och socialtjänsten, med hjälp av den tekniska utvecklingen, kan ha en stor betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet. Samtidigt är nya möjligheter ofta förknippande med nya risker, exempelvis i form av otillräckligt skydd för den personliga integriteten. Det behöver därför göras en ständig avvägning mellan den nytta som en åtgärd syftar till att åstadkomma och de olika risker som en sådan åtgärd kan föra med sig.

2.6 Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet

En effektiv informationshantering i syfte att skapa bästa möjliga resultat för de individer som har behov av hälso- och sjukvård eller socialtjänst ger även upphov till frågor om hur en sådan informationshantering förhåller sig till andra värden. Inte sällan uppstår ett behov av att finna en balans mellan sådant som kvalitet, säkerhet och skydd för den personliga integriteten.

Inte minst har relationen mellan patientsäkerhet och personlig integritet varit under debatt och diskussion. Alltsedan patientdata-

SOU 2014:23 Rätt information på rätt plats i rätt tid – några utgångspunkter

67

lagen trädde ikraft har det i den allmänna debatten höjts röster för att integritetsskyddet tillmäts en sådan stor betydelse att patientsäkerheten riskerar att hotas. Ibland har patientsäkerhet och integritetsskydd även framställts som varandras motsatser.

Enligt utredningens uppfattning är står värden som kvalitet och säkerhet inte nödvändigtvis i motsats till skyddet för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Skyddet för den personliga integriteten är, enligt vårt synsätt, viktigt för att åstadkomma en patientsäker hälso- och sjukvård och en god socialtjänst. Om målet är att skapa en god vård och omsorg, är skyddet för den personliga integriteten ett medel för att nå detta mål. Utredningen bedömer därför att integritetsskyddet hela tiden behöver anpassas för att på bästa sätt skydda dessa andra värden och möjliggöra en utveckling mot en god vård och omsorg.

Relationen kan också beskrivas på ett sådant sätt att hög kvalitet och säkerhet i de flesta fall förutsätter ett gott integritetsskydd, medan ett gott integritetsskydd är fullt möjligt att uppnå i en verksamhet av låg kvalitet och säkerhet. Det skulle exempelvis innebära en förstärkning av patienternas integritetsskydd att förbjuda hälso- och sjukvården att föra patientjournaler, samtidigt som möjligheterna att bedriva en patientsäker verksamhet skulle bli väsentligt sämre eller rent av obefintliga.

Men en fullständig urholkning av integritetsskyddet skulle också ge betydligt sämre förutsättningar att bedriva en patientsäker hälso- och sjukvård eller en god socialtjänst, bland annat eftersom enskilda som inte känner trygghet med hur känsliga uppgifter om dem hanteras skulle kunna välja att undanhålla information för den som ska fatta ett viktigt beslut om den enskildes insatser, vård eller behandling.

Detta innebär att det inte är en fråga om antingen eller, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en verksamhet av hög kvalitet som ständigt utvecklas och förbättras. Det handlar om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att skydda och stimulera en god hälso- och sjukvård och socialtjänst. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i vård och omsorg. Å andra sidan är det, enligt utredningens perspektiv, inte heller helt ändamålsenligt att tala exempelvis om att patient-

Rätt information på rätt plats i rätt tid – några utgångspunkter SOU 2014:23

68

säkerheten får företräde framför integritetsskyddet. Förslagen handlar om att öka förutsättningarna att skapa bättre resultat för individer i behov av hälso- och sjukvård eller socialtjänst. I detta ingår integritetsskydd som en viktig beståndsdel. Våra förslag avspeglar därmed den avvägning som vi bedömer är rimlig för att åstadkomma en – för individen – mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I förslagen inryms utredningens bedömningar av hur integritetsskyddet närmare bör utformas för att på bästa sätt skydda värden som kvalitet och säkerhet.

69

3 Kort om regelverket och om ansvaret för tillsynen

3.1 God vård och omsorg

3.1.1 Målen för hälso- och sjukvården och socialtjänsten

Socialtjänstens och hälso- och sjukvårdens verksamheter har samma målsättning; att stärka människors hälsa i vid bemärkelse. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, en god hälsa och en vård på lika villkor för hela befolkningen. Tandvården har motsvarande mål enligt 2 § tandvårdslagen (1985:125), det vill säga en god tandhälsa och en tandvård på lika villkor för hela befolkningen.

Hälso- och sjukvården ska enligt 2 a § HSL bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den särskilt ska vara av god kvalitet med en god hygienisk standard och tillgodose patientens behov av trygghet, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet, främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen samt tillgodose patientens behov av kontinuitet och säkerhet i vården. Vården och behandlingen ska så långt möjligt utformas och genomföras i samråd med patienten. Olika insatser för patienten ska samordnas på ett ändamålsenligt sätt. Varje patient som vänder sig till hälso- och sjukvården ska, om det inte är uppenbart obehövligt, snarast ges en medicinsk bedömning av sitt hälsotillstånd.

De övergripande målen och grundläggande värderingarna för socialtjänstens samtliga verksamheter uttrycks i 1 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL. I denna inledande paragraf sägs att samhällets socialtjänst ska främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet på demokratins och solidaritetens grund. Vidare ska

Kort om regelverket och om ansvaret för tillsynen SOU 2014:23

70

socialtjänsten inriktas på att frigöra och utveckla enskildas och gruppers egna resurser, under hänsynstagande till människors ansvar för sin och andras sociala situation. Verksamheten ska bygga på respekt för människors rätt till självbestämmande och integritet.

I lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, ställs krav på att verksamheten ska främja jämlikhet i levnadsvillkor och full delaktighet för de funktionshindrade som omfattas av lagen. Målet är att den enskilde ska kunna leva som andra.

Dessa övergripande kvalitetskrav på vården och omsorgen specificeras sedan ytterligare i andra författningar som reglerar verksamheterna.

3.1.2 Ledningssystem för kvalitet

Verksamheter som bedriver hälso- och sjukvård, tandvård, socialtjänst eller verksamhet enligt LSS är skyldiga att systematisk och fortlöpande arbeta med att göra sina verksamheter bättre och säkrare. I hälso- och sjukvårdslagen, tandvårdslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade finns likalydande bestämmelser som anger att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras.

I 3 kap. 1 § patientsäkerhetslagen (2010:650), förkortad PSL, finns bestämmelser som uttrycker att vårdgivaren ska planera, leda och kontrollera verksamheten på så sätt att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls. Vårdgivaren är alltså ytterst ansvarig för att verksamheten drivs på ett säkert sätt och med hög kvalitet. Enligt 1 kap. 3 § PSL är

vårdgivare:

• statlig myndighet, landsting eller kommun som bedriver hälso- och sjukvård i egenregi

• annan juridisk person än staten, landsting eller kommun som bedriver hälso- och sjukvård, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av ett eller flera landsting eller kommuner

• enskild näringsidkare som bedriver hälso- och sjukvård.

Varje sådan vårdgivare ska ha ett ledningssystem för den hälso- och sjukvårdsverksamhet som denne bedriver. Vårdgivaren ska även

SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen

71

enligt 2 kap. 1 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården säkerställa att det i ledningssystemet finns en dokumenterad informationssäkerhetspolicy.

Enligt definitionen i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete är den som bedriver socialtjänst:

• socialnämnd eller motsvarande kommunal nämnd, i fråga om sådan socialtjänst som kommunen bedriver i egen regi

• Statens institutionsstyrelse, då den myndigheten bedriver socialtjänst

• annan juridisk person än staten eller kommun som bedriver socialtjänst, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av en eller flera kommuner, och

• enskild näringsidkare som bedriver socialtjänst.

Alla som bedriver socialtjänst ska ha ett ledningssystem för sin verksamhet. Det gäller både vid myndighetsutövning till exempel ärendehandläggning och vid genomförandet av vård eller insatser. Motsvarande skyldighet har vårdgivare och den som bedriver verksamhet enligt LSS.

Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete är gemensamma för hälso- och sjukvård, tandvård, socialtjänst och verksamhet enligt LSS. Tanken är att gemensamma reglera ska underlätta för verksamheter som bedriver både hälso- och sjukvård och socialtjänst eller verksamhet enligt LSS att ta fram av ändamålsenliga och verksamhetsanpassade ledningssystem.

Ledningssystemet ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten.

Det är alltid vårdgivaren eller den som bedriver socialtjänst eller verksamhet enligt LSS som har ansvaret för att det finns ett ledningssystem.

Kort om regelverket och om ansvaret för tillsynen SOU 2014:23

72

Socialstyrelsen har gett ut ett meddelandeblad1 och en handbok2till stöd i arbetet med att ta fram ett ledningssystem för kvalitet.

3.2 Informationshantering och personuppgiftsbehandling

3.2.1 Informationshantering för en god vård och omsorg

För att den enskilde individen ska kunna erbjudas god vård och omsorg måste de ansvariga verksamheterna dokumentera och i övrigt hantera information om individen och hans eller hennes behov och om de insatser som planeras och genomförs. Även resultaten för individen måste dokumenteras och följas upp. För att verksamheten ska kunna utveckla sin kvalitet behöver resultaten också följas upp på verksamhetsnivå.

När en person får insatser inom vård och omsorg är dokumentationen en integrerad del av genomförandet. Vård- och omsorgspersonal tar del av nödvändiga uppgifter om individen innan mötet med honom eller henne samt även under och efter arbetets genomförande. Uppgifter kan behöva dokumenteras och på olika sätt användas under hela detta förlopp. I bästa fall kan informationssystemet fungera som beslutsstöd direkt arbetssituationen. Det är därför naturligt att se de konkreta insatserna för en individ inom vård och omsorg och den informationshantering som hör ihop med dessa, som beståndsdelar av samma insats. Verksamhetsfrågor och frågor om informationshantering hör ihop. De är tillsammans nödvändiga för att tillgodose den enskildes behov.

Generellt kan sägas att informationshanteringen i vård och omsorg har gått från en tid när ett stort fokus låg på att uppgifter om enskilda dokumenterades, till en tid när mer och mer uppmärksamhet även riktas på hur dokumenterade uppgifter kan användas för att skapa bästa möjliga resultat för enskilda individer och för nästkommande i liknande situationer. Den elektroniska utvecklingen har gett hälso- och sjukvården och socialtjänsten möjligheter att bedriva en bättre, säkrare och mer effektiv verksamhet än vad som tidigare var möjligt.

1 Meddelandeblad nr 11/2011, Information om Socialstyrelsens nya föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9). 2 Ledningssystem för systematiskt kvalitetsarbete, Handbok för tillämpningen av föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.

SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen

73

En ändamålsenlig informationshantering bidrar därmed inte endast till att upprätthålla verksamhetens kvalitet och säkerhet, utan även till att kvaliteten och säkerheten kontinuerligt utvecklas.

Informationshantering i hälso- och sjukvården

Förutsättningarna för hälso- och sjukvårdens informationshantering regleras i ett antal olika regelverk. På en övergripande nivå har lagstiftning som offentlighets- och sekretesslagen (2009:400), förkortad OSL, arkivlagen (1990:782) och tryckfrihetsförordningen (1949:105) betydelse.

När vård- och omsorgspersonal dokumenterar, tar del av eller följer upp resultat m.m. innefattar det även behandling av personuppgifter. För hälso- och sjukvårdens personuppgiftsbehandling finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare, oavsett huvudman, och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Lagen innehåller även bestämmelser om patientjournaler och om nationella och regionala kvalitetsregister. Kompletterande bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Socialstyrelsen har även gett ut en handbok till stöd för tillämpningen av föreskrifterna.3 Därtill gäller personuppgiftslagen (1998:204) utöver bestämmelserna i patientdatalagen.

Även i samband med förskrivning och uttag av läkemedel hanteras personuppgifter. I lagen (1996:1156) om receptregister anges att E-hälsomyndigheten med hjälp av automatiserad behandling får föra ett register över förskrivningar av läkemedel och andra varor för människor (receptregister). Lagen är tillämplig på den behandling av personuppgifter som E-hälsomyndigheten gör i samband med utlämnande av uppgifter om förskrivningar. I lagen finns även bestämmelser bland annat om att uppgifter från receptregistret får lämnas till Socialstyrelsens läkemedelsregister som reglerar i förordningen (2005:363) om läkemedelsregister. I

3 Handboken – Ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Kort om regelverket och om ansvaret för tillsynen SOU 2014:23

74

förordningen (2009:625) om receptregister finns närmare bestämmelser.

Läkemedelsförteckningen innehåller uppgifter om samtliga läkemedel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret talar om ifall patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patientjournalen. Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning.

Informationshantering i socialtjänsten

Den rättsliga regleringen för informationshantering i socialtjänsten är inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentationsfrågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författningsbestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i socialtjänsten återfinns framför allt i förvaltningslagen (1986:223), socialtjänstlagen och de särskilda lagarna med särskilda bestämmelser vid vård av unga (1990:52), förkortad LVU, om vård av missbrukare (1988:870) i vissa fall, förkortad LVM, samt om stöd och service till vissa funktionshindrade. Därutöver har lagstiftning som offentlighets- och sekretesslagen, arkivlagen och tryckfrihetsförordningen även betydelse för socialtjänstens informationshantering.

Socialstyrelsen har utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS. Det finns även en handbok som syftar till att underlätta tillämpningen av det regelverk som gäller för handläggning av ärenden och dokumentation av socialtjänstens insatser för enskilda.4

Socialtjänstens hantering av personuppgifter regleras av personuppgiftslagen och av närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) och förordningen (2001:637) om behandling av personuppgifter i socialtjänsten (SoLPULF).

4 Handläggning och dokumentation inom socialtjänsten (Socialstyrelsen).

SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen

75

3.3 Tystnadsplikt och sekretess

Såväl hälso- och sjukvårdspersonal som personal i verksamheter inom socialtjänsten och LSS kommer i kontakt med uppgifter om enskilda personer. För att var och en med tillit och trygghet ska kunna vända sig till vården och omsorgen måste uppgifter om enskilda skyddas mot obehörig åtkomst.

Offentlighets- och sekretesslagen, innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Lagen innehåller inskränkningar i den offentlighetsprincip som regleras i tryckfrihetsförordningen Sekretess inom den offentliga vården regleras alltså i offentlighets- och sekretesslagen.

Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Regler om tystnadsplikt för hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården finns i 6 kap. PSL.

I patientdatalagen finns bestämmelser om hur den som arbetar i vården får använda sin åtkomst till personuppgifter i informationssystemen. Den som arbetar åt en vårdgivare får enligt 4 kap. 1 § PDL endast ta del av dokumenterade personuppgifter om han eller hon deltar i vården av en patient eller av annat skäl behöver uppgifterna i sitt arbete inom hälso- och sjukvården.

Inom socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men (26 kap. 1 § första stycket OSL). Bestämmelser som reglerar sekretessen i privat drivna verksamheter finns i 15 kap. SoL.

I verksamhet enligt SoL samt LSS ska handlingar som rör enskildas personliga förhållanden enligt 11 kap. 5 § andra stycket SoL samt 21 a § LSS förvaras så att obehöriga inte får tillgång till dem.

Det skydd som personuppgifter har av reglerna om sekretess och tystnadsplikt kan den enskilde själv förfoga över genom att ge tillstånd till att skyddade uppgifter ändå får lämnas ut (12 kap. 2 § OSL).

Det finns bestämmelser om självbestämmande och integritet för den enskilde individen i socialtjänsten (inklusive verksamhet enligt LSS) och hälso- och sjukvården. I dessa framgår att vården och

Kort om regelverket och om ansvaret för tillsynen SOU 2014:23

76

omsorgen ska bygga på respekt för individens självbestämmande och integritet. Det innebär i korthet att man behöver en persons samtycke för att utföra åtgärder, till exempel om man behöver samverka kring en individ. Bestämmelserna gäller helt oberoende av sekretess, men de påverkar möjligheten att lämna ut uppgifter om den enskilde individen. Det gäller såväl inom som mellan myndigheter. Bestämmelserna finns i 2 a § HSL, 1 kap. 1 § tredje stycket SoL samt 6 § LSS. Om samverkan över sekretessgränser behövs kan det vara lämpligt att, i samband med inhämtandet av samtycke till den åtgärden, samtidigt inhämta det samtycke som i många fall behövs för att kunna lämna ut sekretessbelagda uppgifter över sekretess- eller tystnadspliktsgränser. Bestämmelserna gäller även för verksamhet i privat regi, det vill säga för privata vårdgivare och enskilda verksamheter.

I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Motsvarande sekretessbrytande bestämmelse finns inte för socialtjänsten.

3.4 Tillsyn av vård och omsorg

Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt LSS. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter.

Säker vård och omsorg omfattar även säker hantering av personuppgifter. För att en säker verksamhet ska kunna bedrivas måste uppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården och socialtjänsten förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och den enskilde.

SOU 2014:23 Kort om regelverket och om ansvaret för tillsynen

77

I förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg beskrivs myndighetens tillsynsansvar. Bestämmelser om IVO:s tillsyn finns också i patientsäkerhetslagen, socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.

Datainspektionen ska verka för att skydda människors personliga

integritet vid behandling av personuppgifter. Datainspektion utövar i detta syfte tillsyn över personuppgiftsbehandlingen inom vård och omsorg. Bestämmelser om Datainspektionens tillsyn finns i förordningen (2007:975) med instruktion för Datainspektionen och i PUL.

Såväl IVO som Datainspektionen har alltså tillsyn över informationshanteringen inom vård och omsorg och ska samverka i dessa tillsynsfrågor.5

Läkemedelsverket har tillsyn inom bland annat området läke-

medel och medicintekniska produkter. I förordning (2007:1205) med instruktion för Läkemedelsverket beskrivs tillsynsuppdraget. Enligt förordningen (1993:876) om medicintekniska produkter har Läkemedelsverket tillsyn över att lagen (1993:584) om medicintekniska produkter följs. I tillämpningsområdet för Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården ingår informationssystem som är anslutna till medicintekniska produkter.

Arbetsmiljöverket har tillsyn över att vårdgivare och att de som

bedriver socialtjänst och verksamhet enligt LSS följer arbetsmiljölagen (1977:1160). I arbetsmiljölagen finns regler om skyldigheter för arbetsgivare och andra skyddsansvariga om att förebygga ohälsa och olycksfall i arbetet.

Det är alltså åtminstone fyra olika myndigheter som bedriver tillsyn av de verksamheter som är ansvariga för god vård och omsorg. Det förutsätts i förvaltningslagen (1986:223) att myndigheter ska samverka med varandra.

79

4 En hälso- och sjukvård i utveckling

4.1 Inledning

Behovet av informationsutbyte kring individen är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. De verksamheter som bedriver sjukvård behöver alla ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation. Huvudmannen som har ansvar för befolkningen i området och finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer alldeles oavsett om individens resa har passerat offentliga och privata aktörer.

Det övergripande uppdraget är enligt utredningsdirektivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.

I direktivet anför regeringen att en enskild som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter allt fler vårdgivare, utförare inom socialtjänsten etc., både nationellt och internationellt. Med nuvarande lagstiftning innebär fler aktörer fler gränser mellan aktörer, vilket kan skapa juridiska och andra hinder för tillgång till personuppgifter.

Vidare anförs att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar som exempelvis tvär-

En hälso- och sjukvård i utveckling SOU 2014:23

80

professionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner, personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.

4.1.1 Riksrevisionens rapport

Under 2011 presenterade Riksrevisionen sin rapport Rätt information

vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?1. I

rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anför i granskningen bl.a. att vårdens organisering har kommit att bli avgörande för informationsutbytet:

Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation. Granskningen visar att det i ett landsting med få vårdgivare är enklare att få tillgång till patientinformation då patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare.

Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de konsekvenser som det ökade antalet privata vårdgivare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författningsreglering.

4.2 Hälso- och sjukvårdens organisation

Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Begreppet hälso- och sjukvård omfattar således såväl de sjukdomsförebyggande och hälsofrämjande åtgärderna som den egentliga sjukvården. I fråga om tandvård finns särskilda bestämmelser.

Den svenska hälso- och sjukvården karaktäriseras av en stark decentralisering. Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken, men det är de 21 landstingen/regionerna samt

1 RiR 2011:19.

SOU 2014:23 En hälso- och sjukvård i utveckling

81

de drygt 290 kommunerna som tillsammans ansvaret för hälso- och sjukvården i landet. Den svenska modellen innebär att i princip all hälso- och sjukvård som ges i landet är offentligt finansierad antingen av landsting eller av kommuner. Detta gäller alldeles oavsett om det sedan är landstinget, kommunen eller en privat vårdgivare som bedriver själva hälso- och sjukvårdsverksamheten. Den rent privata hälso- och sjukvården, d.v.s. som inte finansieras med offentliga medel, är visserligen något på framväxt men utgör fortfarande en mycket liten del av den totala hälso- och sjukvårdsproduktionen.

Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Vidare ska vården ges med respekt för alla människors lika värde och för den enskilda människans värdighet (2 § HSL).

4.2.1 Landstingens ansvar

Landstingen har enligt hälso- och sjukvårdslagen ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården (tillgänglighetsgaranti), besöka läkare inom primärvården (besöksgaranti), besöka den specialiserade vården (besöksgaranti), och planerad vård (behandlingsgaranti).

I landstingens planeringsansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.

Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vårdinrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom

En hälso- och sjukvård i utveckling SOU 2014:23

82

landstingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem). Sådana vårdvalssystem ska utformas så att alla utförare behandlas lika, om det inte finns skäl för annat. Ersättningen från landstinget till utförare inom ett vårdvalssystem ska följa den enskildes val av utförare.

I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vårdplatser. För primärvården finns drygt 1 000 vårdcentraler.

Landstingens ansvar för läkarinsatser

Landstingen har ett särskilt ansvar för läkarinsatser. Det ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst.

Av hälso- och sjukvårdslagen följer att landstingen ska till kommunerna inom landstinget avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjukvården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.

4.2.2 Kommunernas ansvar

Varje kommun ska erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.

När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har fått befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överenskommelse med en kommun, överlåta skyldigheten att erbjuda hemsjukvård. I dag har samtliga län utom Stockholm kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten.

SOU 2014:23 En hälso- och sjukvård i utveckling

83

Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i hemmet har inte räknats som hemsjukvård (prop. 1990/91:14). Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.

Det är dock inte möjligt att inom ramen för en sådan överenskommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkarinsatser som den enskilde behöver. Den kommunala hemsjukvården har då att samarbeta med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.

En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Kommunen ska planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov. Planeringen ska även avse den hälso- och sjukvård som erbjuds av privata och andra vårdgivare.

4.2.3 Privata vårdgivare m.m.

Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvården har utvecklingen gjort att det blivit vanligare att landsting och kommuner anlitar privata aktörer som utförare av hälso- och sjukvård. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idéburna aktörer. Det ökade antalet privata vårdgivare återfinns framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Även i den kommunala hälso- och sjukvården ökar antalet privata utförare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hemsjukvården. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård.

Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De offentliga aktörerna är som huvudmän och beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentligfinansierade verksamheter. Utredningen om en ny kommunallag för framtiden anför i SOU 2013:53 att det av bestämmelser i bl.a.

En hälso- och sjukvård i utveckling SOU 2014:23

84

kommunallagen (1991:900), hälso- och sjukvårdslagen, socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare. När kommuner och landsting lämnar över verksamhet till privata utförare så kvarstår, enligt den utredningen, det kommunala huvudmannaskapet för verksamheten. Det kan indirekt utläsas av 6 kap. 7 § kommunallagen, i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredsställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.2Ansvaret gentemot kommunmedlemmarna ligger alltjämt på kommunen eller landstinget som huvudman även om vissa uppgifter inom den kommunala verksamheten lämnats över till en privat utförare. Kommunen eller landstinget bestämmer om verksamhetens mål, inriktning, omfattning och kvalitet när den utförs av en privat utförare. Den privata utföraren tillhandahåller en kommunal tjänst och kommunen eller landstinget behåller det övergripande ansvaret på samma sätt som när den bedriver verksamhet i egen regi.3Kostnad och kvalitet för samma vårdinsats för den enskilde ska exempelvis inte skilja sig åt mellan en offentlig och en privat utförare.

Privata vårdgivare med offentlig finansiering grundar sin verksamhet på i huvudsak någon av följande avtalsrelationer med landstinget eller kommunen:

1. vårdval enligt lagen (2008:962) om valfrihetssystem, förkortad

LOV,

2. upphandling enligt lagen (2007:1091) om offentlig upphandling,

förkortad LOU,

3. ersättningsetablering enligt lagen (1993:1651) om läkarvårds-

ersättning, förkortad LOL, och enligt lagen (1993:1652) om ersättning för fysioterapi,

4. direktavtal.

Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. Denna sektor av hälso- och sjukvården är emellertid mycket liten. I dessa fall ansvarar följaktligen

2SOU 2013:45 Privata utförare – Kontroll och insyn s. 99. 3SOU 2013:45 Privata utförare – Kontroll och insyn s. 105.

SOU 2014:23 En hälso- och sjukvård i utveckling

85

inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.

4.2.4 Vårdval och valfrihetssystem

Riksdagen antog 2009 propositionen Vårdval i primärvården4. Detta har inneburit att landstingen och Gotlands kommun senast den 1 januari 2010 skulle ha infört vårdvalssystem som ger patienten rätt att välja mellan olika vårdgivare i primärvården. Alla vårdgivare, som uppfyller de krav landstingen ställer, har rätt att etablera sig i primärvården. Bestämmelserna i lagen om valfrihetssystem ska följas när landstingen utformar sina valfrihetssystem.

Landstingen ska således, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom landstinget kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt. Landstinget får inte begränsa den enskildes val till ett visst geografiskt område inom landstinget.

Hur det övergripande målet för vårdvalet formuleras kan skilja något mellan landstingen. I några betonas befolkningens tillgänglighet till vård och mångfald, medan andra framhåller målen att stärka patientens ställning och den nära vården.

I vårdvalsuppdraget framhåller alla landsting hälsofrämjande och sjukdomsförebyggande insatser, ökad tillgänglighet, att invånarnas behov ska vara styrande för verksamheten, att vårdenheten ska medverka till en samordnad eller sammanhållen vårdprocess, och att den vårdenhet som invånaren är listad hos ska vara ett naturligt förstahandsval när invånaren söker hälso- och sjukvård.

I exempelvis Stockholms läns landstings modell Vårdval Stockholm beslutas regler för auktorisering och vårdval av landstingsstyrelsen alternativt hälso- och sjukvårdsnämnden. Mottagningar som godkänns får avtal att driva sjukvård inom sitt område. Reglerna för auktorisering är desamma för privat och landstingsdriven verksamhet. Med den auktoriserade mottagningen sluts ett avtal där mottagningen förbinder sig att följa de åtaganden och regler som landstinget ställer. Avtalen gäller tills vidare och kan tidigast sägas upp efter fyra år.

Medan det för landstingen är obligatoriskt att införa valfrihetssystem i primärvården är det frivilligt för kommunerna att göra det inom den kommunala hälso- och sjukvården och socialtjänsten.

En hälso- och sjukvård i utveckling SOU 2014:23

86

Samtidigt har många kommuner i dag infört valfrihetssystem inom vård och omsorgssektorn.

4.2.5 Ett växande antal privata vårdgivare

Uppskattningsvis finns omkring 10 000 privata vård- och omsorgsföretag i landet i dag. Vid en kartläggning som gjordes av Vårdföretagarna 2001 utfördes omkring 5 procent av vårduppdragen av privata företag. Enligt Vårdföretagarna svarar i dag privat vård och omsorg för cirka 12 procent av den totala hälso- och sjukvården. År 2010 drevs omkring 26 procent av primärvården och 14 procent av äldreomsorgen i privat regi.

Variationen i landet, mellan landsting och kommuner, är dock stor. I en del län förekommer endast ett ringa antal privata utförare, medan några län visar upp en stor mångfald aktörer.

Av hälso-och sjukvårdsnämnden i Stockholms läns landstings totala kostnader för köpt hälso- och sjukvård 2011 stod privata vårdgivare för 32 procent av de totala kostnaderna. Fördelningen mellan privat utförd och offentligt utförd hälso- och sjukvård, uppdelad på olika delar av hälso- och sjukvården, ser ut som följer inom SLL år 2011.

1. Somatisk specialistsjukvård, 81 % landsting, 19 % privat.

2. Psykiatri, 80 % landsting, 20 % privat.

3. Primärvård, 40 % landsting, 60 % privat.

4. Geriatrik, 49 % landsting, 51 % privat.

5. Övrig vård, 36 % landsting, 64 % privat.

Ytterligare uppgifter från Stockholms läns landsting gör gällande att det, förutom offentliga vårdleverantörer, finns drygt 3 000 verksamheter som bedriver hälso- och sjukvård i länet.5 Av dessa har 560 leverantörer olika vårdavtal med landstinget, 1 400 erbjuder vård med stöd av nationella taxan samt 1 100 utför tandvård med offentlig finansiering. Vidare visar utvecklingen en tendens i ett ökat antal leverantörer. År 2008 fanns det i länet 453 unika leverantörer som tillsammans hade 1 260 vårdavtal för driften av sina verksamheter. År 2011 hade antalet ökat till 564 leverantörer och 1 695 avtal. Vid en analys av utvecklingen i Stockholm mellan år 2000 och 2010 kan konstateras att de privata vårdgivarnas andel framför allt har ökat

5 Rapporten Vårdmarknad och företagsklimat, 2012, Stockholms läns landsting.

SOU 2014:23 En hälso- och sjukvård i utveckling

87

inom geriatriken, där cirka 50 procent av vården producerades av privata vårdgivare år 2010 jämfört med några få procent tio år tidigare. Även inom primärvården har ökningen varit stor, från omkring 30 procent år 2000 till 60 procent 2010.

Även i Landstinget i Östergötland har antalet privata vårdgivare ökat de senaste åren. Från 2008 till 2012 har antalet privat drivna vårdcentraler med finansiering från landstinget ökat med 50 procent, från sex stycken till nio vårdcentraler. Av landstingets 43 vårdcentraler drivs således drygt 20 procent i privat regi.

Vidare kan uppmärksammas Landstinget i Uppsala län där privata vårdgivare med offentlig finansiering står för omkring 40 procent av vårdutbudet i primärvården.

Socialstyrelsen har haft regeringens uppdrag att följa upp valfrihetssystemen inom primärvård och socialtjänst ur ett patient- och befolkningsperspektiv. I slutrapporten från 2012 framkommer bl.a. följande om den utveckling som har skett6.

Sedan landstingen införde sina respektive vårdvalssystem har 208 vårdcentraler i privat regi etablerats till och med oktober 2011. Under motsvarande tid har antalet vårdcentraler i offentlig regi minskat med 17 stycken. Nettotillskottet uppgår alltså till 191 vårdcentraler, vilket motsvarar omkring 19 procent av det totala antalet.

I de 191 vårdcentralerna ingår även filialer. En filial är en del av eller underavdelning till en vårdcentral och har inga listade patienter, utan dessa är listade hos ”huvudmottagningen”. Filialen bedriver verksamhet med fast adress på annan ort och har i de flesta fall ett mer begränsat utbud av primärvårdstjänster jämfört med huvudmottagningen.

Antalet vårdcentraler som drivs av privata utförare har mer än fördubblats efter vårdvalsreformen 2009. Det har skett dels genom att nya vårdcentraler har etablerats men framför allt genom att vårdcentraler som tidigare drivits i offentlig regi numera drivs i privat regi. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare. Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1 022 och av dem drevs 288 i privat regi. År 2011 finns det 1 213 vårdcentraler i landet och av dem drivs nu 602 i privat regi.

6 Socialstyrelsens rapport Valfrihetssystem ur ett befolknings- och patientperspektiv (2012).

En hälso- och sjukvård i utveckling SOU 2014:23

88

Privatiseringen av primärvården har därmed gått i en snabb takt mellan 2009 och 2011.

4.2.6 Ökad specialisering

Det råder ingen tvekan om att komplexiteten i hälso- och sjukvården ökar bland annat i takt med nya medicinska landvinningar och utvecklingen av nya läkemedel och medicintekniska produkter. Människans liv blir allt längre och i takt med tiden ökar förekomsten av kroniska sjukdomar och multisjuka patienter. Dagens hälso- och sjukvård ställer stora krav på samverkan och samarbete för att lösa de utmaningar som står för dörren. Det ställs stora krav på hälso- och sjukvårdens aktörer för att de ska kunna säkra framtidens vård, möta den snabba medicinska utvecklingen, tillgodose behovet av hög kompetens på alla områden och samtidigt balansera kostnaderna för verksamheten och utvecklingen.

Detta har bl.a. lett till ökade behov av att koncentrera verksamheter, eftersom resurser saknas för att med tillräckligt hög kvalitet tillhandahålla samma utbud överallt. Den rådande utvecklingen i samhället och i hälso- och sjukvården har mot denna bakgrund medfört en ökad specialisering.

4.2.7 Vårdval – ökade möjligheter för medborgarna

I och med valfrihetsreformen har samtliga medborgare fått rätten att välja en utförare av hälso- och sjukvårdstjänster. För många innebär det ett val av vårdcentral. Men även personer som bor i ordinärt boende och som samtidigt får hälso- och sjukvårdsinsatser i hemmet omfattas av vårdvalet oavsett om insatserna utförs under kommunens eller landstingets ansvar.

I en vårdgivares skyldigheter ingår i regel ansvar för läkarinsatser till enskilda personer som vårdas inom den kommunala hälso- och sjukvården. Läkarinsatser i särskilda boenden omfattas i de flesta landsting av ett grundåtagande i vårdvalet. Det innebär att den enskilde har rätt att välja vårdgivare även om man bor i särskilt boende.

Medborgarnas ökade valmöjligheter medför en del nya krav på vård- och omsorgsaktörerna. Förutsebarheten och möjligheten att planera och dimensionera olika verksamheter är i dag mer

SOU 2014:23 En hälso- och sjukvård i utveckling

89

komplicerad. Samtidigt som landsting och kommuner behöver ha en flexibilitet för att möta medborgarnas valfrihet måste den övergripande planeringen och nödvändiga stödsystem vara robusta och garantera en högkvalitativ och jämlik vård. Dagens mångfald av utförare gör tillsammans med medborgarnas valmöjligheter att behovet av att systematiskt hålla ihop de system, processer, rutiner etc. som är nödvändiga förutsättningar för en god och säker vård är ännu större än tidigare.

4.2.8 Vårdprocesser sträcker sig allt mer över vårdgivargränser

En konsekvens av den ökade specialiseringen och mångfalden av utförare är att det i dag snarare är regel än undantag att patienten möter flera olika vårdgivare under en och samma vårdprocess. Patienten möter olika offentliga och privata utförare som tillsammans har uppdraget att leverera högkvalitativ vård för den enskildes bästa. För ett antal år sedan var situationen annorlunda. Då stod kommuner och landsting för i princip all hälso- och sjukvård som utfördes. Vårdprocesserna gick då typiskt sett inte över vårdgivargränser utan hölls i större utsträckning inom landstingets eller kommunens verksamhet. I takt med privatiseringen har detta dock kommit att förändras. Det är särskilt märkbart inom framför allt primärvården.

I dag kan patienten på sin resa genom vården, t.ex. inom ramen för en remisshantering, passera flera olika privata och offentliga aktörer. Det kan handla om att patienten remitteras från en privat driven vårdcentral för att först utredas på en landstingsdriven mottagning och efter det på en privat driven specialistmottagning för att sedan återvända till den remitterande vårdgivaren. Det kan även förekomma att patienten behöver söka vården akut för samma hälsoproblem och då få hjälp av ytterligare en aktör.

Vårdprocesser är inte heller alltid på förhand definierade på ett sådant sätt att det är möjligt att förutse vilka aktörer som kommer att vara inblandade i patientens vård och behandling. Vid exempelvis misstänkt cancer kan processen se olika ut och inledas utifrån symptom som inte omedelbart förknippas med cancer. Det kan i ett inledande skede vara fråga om en omfattande remisshantering, t.ex. från en primärvårdsmottagning till ett laboratorium, från akutmottagning till röntgen, från vårdavdelning till MR-undersökning på länssjukhus och vidare till kirurgi, patologi och onkologi.

En hälso- och sjukvård i utveckling SOU 2014:23

90

När det gäller primärvården pekar exempelvis Socialstyrelsen i sin rapport om Valfrihetssystem ur ett befolknings- och patientperspektiv (2012) på att det ännu finns få svenska studier som visar hur olika befolkningsgrupper använder sig av de möjligheter ett valfrihetssystem kan ge och på vilka grunder eller kriterier enskilda personer väljer. Av en undersökning som Konkurrensverket låtit göra kring vårdval i primärvården7framgår att kontinuitet generellt ansågs vara en viktig faktor i vård och omsorg av dem som deltog i undersökningen, men särskilt bland de äldre. Yngre personer lade större vikt vid att snabbt kunna få läkartid för sig eller sina barn. Patientens val och rörlighet kan därmed hänga mycket samman med faktorer som i vilket skede i livet patienten befinner sig, vilka socioekonomiska förutsättningar individen har etc. Vård-och omsorgsproducenterna måste därför kunna leverera en högkvalitativ vård och omsorg till individer med olika förutsättningar och som gör olika val för att initiera en vårdprocess.

4.2.9 Sammanfattande reflektioner

Gemensamt för många av dagens vårdprocesser är att behoven av både tät samverkan och flexibilitet är stora. Inte sällan framförs risker med att mångfald, vårdvalssystem och vård- och omsorgsprocesser med flertalet aktörer kan medföra att individen får ta ett större eget ansvar för att hålla samman processen i gränssnitten mellan de olika aktörerna. I en alltmer specialiserad vård med en mångfald av utförare ökar behovet att hålla samman informationen i enskilda vård- och omsorgsprocesser. Tillgång till rätt information om patienten är kritiskt i varje del av kedjan, hos varje aktör som möter individen. ITsystem måste kunna kommunicera, rutiner och arbetssätt måste vara ändamålsenliga och till viss del gemensamma, samma termer och begrepp måste användas av olika aktörer m.m. Det är avgörande för patientsäkerheten att ha en helhetsbild över patientens hälsoproblem oavsett hur patientens resa genom vård och omsorgssystemet har startat och oavsett vilka aktörer som passeras under resan. Det ligger även ytterst i varje medborgares intresse att vård- och omsorgsproducenterna kan hålla ihop de system, processer, rutiner och den information som krävs för att patienter ska få en god vård och omsorg.

7 Konkurrensverkets rapportserie 2010:3.

91

5 Informationshantering inom hälso- och sjukvården

5.1 Bakgrund

Informationshanteringen är av fundamental betydelse för hälso- och sjukvården. Grunden utgörs traditionellt sett av patientjournalföringen, som har avgörande betydelse för kvaliteten och säkerheten i hälso- och sjukvården. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård för patienten. Patientjournalen är därmed primärt ett arbetsinstrument för hälso- och sjukvårdspersonalen. Samtidigt är journalen även en viktig informationskälla för patienten, t.ex. för att ge patienten större kunskap om sin hälsosituation och för att öka patientens delaktighet i vården. Den har även stor betydelse för möjligheterna till uppföljning och kvalitetssäkring av verksamheten samt för forskningen. Patientjournalen är också ett viktigt underlag vid tillsyn eller i rättsliga sammanhang.

Samtidigt kan konstateras att hälso- och sjukvårdens informationshantering i dag är så mycket mer än den egentliga patientjournalföringen. Det handlar inte längre endast om att i efterhand dokumentera bedömningar, ställningstaganden och vidtagna åtgärder kring enskilda patienter. I dag handlar det även mycket om hur hälso- och sjukvården kan använda redan dokumenterade uppgifter om patienter och information exempelvis om de landvinningar som görs inom den medicinska forskningen för att skapa ännu bättre resultat för patienterna.

Informationshanteringen kan därför sägas vara en grundläggande förutsättning för effektiva kunskaps- och beslutsstöd i den patientinriktade verksamheten. Nya tekniska lösningar har medfört att hälso- och sjukvården kan få bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än vad som över huvud taget är möjligt vid manuella genomgångar av patientjournaler och forskningsrön.

Informationshantering inom hälso- och sjukvården SOU 2014:23

92

Den elektroniska utvecklingen har även medfört att det i dag kommit att handla mer och mer om hur informationen presenteras för användarna, dvs. hälso- och sjukvårdspersonalen, och hur informationssystemen i övrigt bör vara uppbyggda för att vara användbara i verksamheten.

Därutöver har frågor om hur uppgifter om patienter kan användas för att utveckla och säkra kvaliteten i hälso- och sjukvården under en längre tid ökat i aktualitet. Utvecklingen av nationella kvalitetsregister, öppna jämförelser m.m. har bland annat satt ljuset på hur viktigt det är att mäta vad som görs i verksamheten för att få underlag till förbättringsarbeten.

Vidare har en stor utveckling kommit att ske vad gäller patienters tillgång till information om dem själva. Från att ha handlat om att lämna ut journalkopior manuellt på papper, handlar frågorna i dag om direkt tillgång till uppgifter på internet och särskilda tekniska lösningar som exempelvis gör att informationen kan förädlas och visualiseras på sätt som motsvarar enskilda patienters behov. Den dokumentation som skapas i hälso- och sjukvården är därmed även på väg att bli en grundförutsättning för att stärka patienters delaktighet i vården och öka patienters kännedom om deras hälsosituation. En del av hälso- och sjukvårdens informationshantering handlar därför om att tillhandahålla förutsättningar för patienter att förstå och kunna fatta informerade beslut som påverkar hälsa och livskvalitet.

Sammantaget kan konstateras att frågorna om hälso- och sjukvårdens informationshantering har blivit fler och kommit att spänna över bredare områden än tidigare. Det har även medfört ett större fokus på lagstiftningen på området och på frågan om vad som är rättsligt möjligt i frågor om användning av uppgifter om patienter.

I detta kapitel redogörs översiktligt för den nuvarande rättsliga regleringen av hälso- och sjukvårdens informationshantering. Längre fram i betänkandet återfinns utredningens närmare redogörelser och analyser av olika delar av gällande rätt.

SOU 2014:23 Informationshantering inom hälso- och sjukvården

93

5.2 Den rättsliga regleringen av informationshanteringen

För hanteringen av personuppgifter inom hälso- och sjukvården finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård.

Patientdatalagen kompletteras av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

5.2.1 Begreppet vårdgivare

I patientdatalagen görs en åtskillnad mellan informationshanteringen inom en vårdgivares verksamhet respektive mellan olika vårdgivare. Förutsättningarna för informationshantering i ett enskilt fall är därmed bl.a. beroende av om det rör sig om en hantering uteslutande inom den egna vårdgivarens verksamhet eller om information exempelvis behöver inhämtas från en eller flera andra vårdgivare.

Med vårdgivare avses en fysisk eller juridisk person som bedriver hälso- och sjukvård. Det är statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Inom den allmänna hälso- och sjukvården är det således den juridiska personen landstinget eller kommunen som är vårdgivare. Sådana kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är egna juridiska personer och utgör självständiga vårdgivare. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB. Även privata utförare av offentligfinansierad hälso- och sjukvård, som exempelvis Capio, Aleris och Praktikertjänst, är självständiga vårdgivare. Detsamma gäller för även enskilda personer som bedriver husläkarmottagningar, mottagningar för sjukgymnastik m.m.

Informationshantering inom hälso- och sjukvården SOU 2014:23

94

Några exakta uppgifter om hur många vårdgivare det finns i dag i Sverige har inte varit möjligt att få fram. En siffra som har nämnts i olika sammanhang är att det finns omkring 10 000 privata vård- och omsorgsföretag i Sverige. Om samtliga dessa är att betrakta som vårdgivare i lagstiftningens mening är emellertid oklart. Hur som helst kan dock konstateras att antalet sinsemellan självständiga vårdgivare har ökat väsentligt de senaste åren. Bara i Stockholm finns omkring 1 000 vårdgivare som driver sin verksamhet med offentlig finansiering.

5.2.2 Informationshantering inom en vårdgivares verksamhet (inre sekretess)

Inom en vårdgivares verksamhet kan information utbytas mellan olika aktörer och olika enheter, exempelvis mellan sjukhus och vårdcentraler eller mellan olika enheter inom ett sjukhus, utan hinder av sekretess. Det finns således ingen sekretessgräns som hindrar ett informationsflöde inom en vårdgivares verksamhet, i det s.k. inre sekretessområdet.

Det betyder emellertid inte att det är fritt fram att utbyta information mellan alla som arbetar inom en och samma vårdgivares verksamhet. Av den grundläggande bestämmelsen i 4 kap. 1 § PDL om inre sekretess följer att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient endast om han eller hon deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Vidare följer av kraven på behörighetsstyrning att personalens behörighet för åtkomst till patientuppgifter ska begränsas till vad som behövs för att den enskilde anställde ska kunna fullgöra sina arbetsuppgifter. Dessutom finns integritetsskyddande bestämmelser om åtkomstkontroll, som ställer krav på att åtkomsten till patientuppgifter dokumenteras (loggas) samt systematiskt och återkommande kontrolleras.

Även om det inte finns några sekretessgränser för informationsutbytet inom en vårdgivares verksamhet har patienten en möjlighet att själv begära att den elektroniska åtkomsten till patientens uppgifter begränsas. Den rätten beskrivs ofta som att patienten kan lägga en inre spärr. Rättigheten följer av 4 kap. 4 § PDL och innebär att vårddokumentation som dokumenterats hos en vårdenhet eller inom en

SOU 2014:23 Informationshantering inom hälso- och sjukvården

95

vårdprocess inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.

En sådan spärr får hävas av behörig befattningshavare hos vårdgivaren om patienten samtycker till det. Spärren får även hävas i sådana situationer där patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Lagstiftarens tanke med reglerna om inre spärrar har varit att skapa en bestämmelse som slår fast de principer som uttrycks i 2 § hälso- och sjukvårdslagen om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Patientdatautredningen anförde i sitt betänkande (s. 373) att det för en del patienter inte skulle räcka med en möjlighet att i efterhand kontrollera vilken åtkomst till patientens uppgifter som förekommit. De patienterna bör enligt utredningen ha en möjlighet att motsätta sig att journaluppgifter görs elektroniskt tillgängliga för andra vårdenheter alternativt vårdprocesser än den vid vilken patienten vårdats under en specifik tidsperiod.

Den inre spärren handlar dock inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika vårdenheter, t.ex. kliniker eller sjukhus hos en och samma vårdgivare. Bestämmelsen reglerar endast själva sättet för informationsutbytet, dvs. elektronisk åtkomst. Några nya interna sekretessgränser uppstår inte och spärrarna innebär inget hinder mot att personal vid olika vårdenheter eller vårdprocesser tar kontakt med varandra på motsvarande sätt som görs när förutsättningar för elektronisk åtkomst helt saknas.

5.2.3 Informationshantering mellan vårdgivare

Av bestämmelserna om sekretess och tystnadsplikt i offentlighets- och sekretesslagen respektive patientsäkerhetslagen (2010:659) följer att sekretess råder mellan olika vårdgivare för uppgifter om hälsotillstånd eller andra personliga förhållanden. Det innebär något förenklat att det exempelvis råder sekretess mellan ett offentligt drivet sjukhus och en privat driven vårdcentral, eller mellan olika offentliga vårdgivare samt mellan olika privata vårdgivare. Uppgifter om enskilds hälsotillstånd eller andra personliga

Informationshantering inom hälso- och sjukvården SOU 2014:23

96

förhållanden får då i huvudsak utbytas med stöd av den enskildes samtycke eller genom att tillämpa en sekretessbrytande bestämmelse.

I offentlighets- och sekretesslagen finns exempelvis sekretessbrytande bestämmelser som innebär att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande bestämmelse finns även för olika myndigheter som bedriver hälso- och sjukvård inom ett landsting. Dessa bestämmelser möjliggör för kommuner och landsting att organisera sin verksamhet i olika myndigheter utan att det för den skull uppstår sekretessgränser dem emellan. Bestämmelserna gäller dock enbart den hälso-och sjukvård som landstinget eller kommunen själv bedriver genom dessa myndigheter och kan inte tillämpas på sådan hälso- och sjukvård som utförs av privata vårdgivare med offentlig finansiering. Mellan de offentliga och privata aktörerna råder alltjämt sekretess.

Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte att en uppgift som behövs för att den enskilde ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare av socialtjänst. Det är en sekretessbrytande bestämmelse som inte ska tillämpas generellt och i vida omfattning, utan i stället med stor försiktighet då det framstår som direkt påkallat att bistå en enskild och den enskilde kan tänkas motsätta sig ett utlämnande eller att saken brådskar och det inte finns tid att inhämta ett samtycke.

Hur uppgifter får utbytas, vare sig uppgiftsutbytet grundas på ett samtycke eller en sekretessbrytande bestämmelse, regleras bl.a. i patientdatalagen. I lagen medges dels att uppgifter som får lämnas ut kan lämnas ut elektroniskt, dels att vårdgivare under vissa förutsättningar får ha direktåtkomst till varandras vårddokumentation.

SOU 2014:23 Informationshantering inom hälso- och sjukvården

97

5.2.4 Informationshantering mellan vårdgivare – sammanhållen journalföring

Genom patientdatalagen och sekretessbrytande bestämmelser i OSL har vårdgivare fått möjligheten att under vissa förutsättningar ta del av varandras vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring.

Kännetecknande för direktåtkomst är bl.a. att den som önskar ta del av information hos exempelvis en annan vårdgivare på eget initiativ kan bereda sig åtkomst till informationen. Uppgifterna finns således potentiellt tillgängliga att ta del av utan att den som gjort uppgifterna tillgängliga behöver fatta ett formellt beslut om utlämnande till förmån för den som önskar ta del av uppgifterna. Enkelt uttryckt handlar sammanhållen journalföring således om att dela med sig av sin egen vårddokumentation och/eller ta del av vårddokumentation som andra vårdgivare har gjort tillgänglig. Sammanhållen journalföring ger därmed inte uttryck för tanken om ”en patient – en journal”, utan regelverket förutsätter att vårdgivare för sin egen journal och ansvarar för hanteringen av den.

Det är frivilligt för vårdgivare att samarbeta och skapa system för sammanhållen journalföring. Samtidigt måste en rad förutsättningar vara uppfyllda för att vårdgivare ska få nyttja möjligheterna att dela vårddokumentation genom direktåtkomst.

För det första gäller att patienten har en rätt att – efter ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare genom direktåtkomst. Det krävs således inget samtycke för att vårdgivare ska kunna dela med sig av patienternas uppgifter genom direktåtkomst, utan regleringen ger i stället uttryck för individens rätt att motsätta sig, s.k. opt-out.

Patienten har således att välja på att tyst samtycka eller uttryckligen motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom direktåtkomst. En grundläggande förutsättning i sammanhanget är dock att patienten informeras om att han eller hon faktiskt har något att ta ställning till. Sådan information ska lämnas innan uppgifterna görs tillgängliga i system för sammanhållen journalföring. Hur sådan information ska lämnas regleras inte i lagstiftningen, utan det är upp till hälso- och sjukvårdens aktörer att hitta lämpliga former som är väl avvägda och anpassade till olika förutsättningar.

Informationshantering inom hälso- och sjukvården SOU 2014:23

98

Genom praxis från Datainspektionen har det tydliggjorts att vårdgivarnas informationsplikt är central och de informationsinsatser som väljs måste vara anpassade för att kunna nå de patienter vars uppgifter avses ingå i sammanhållen journalföring. Exempelvis förekommer informationsinsatser i de olika länstidningar som finns, i kallelser till patientbesök, genom affischer och broschyrer på sjukhus och vårdcentraler. Vårdgivare som avser att tillgängliggöra patientuppgifter rörande patienter som finns i andra län än det i vilket vårdgivaren är verksam, kan även behöva använda sig av region- eller rikstäckande informationsinsatser för att nå patienterna. Som ett exempel på detta kan nämnas Karolinska Universitetssjukhuset som bl.a. informerat genom annonser i Dagens Nyheter.

Om patienten motsätter sig sammanhållen journalföring ska vårdgivaren spärra uppgifterna, dvs. se till att uppgifterna över huvud taget inte är elektroniskt tillgängliga genom direktåtkomst för andra vårdgivare. Åtkomst till sådana spärrade uppgifter får då ske på samma sätt som t.ex. då journaler fördes på papper, dvs. att uppgifterna kan lämnas ut efter sekretessprövning. Beslut om ett sådant utlämnande ska, efter förfrågan från patienten eller en vårdgivare som önskar ta del av uppgifterna, fattas av den vårdgivare som har spärrat uppgifterna. Om uppgifterna får lämnas ut kan det ske manuellt eller elektroniskt.

Vårddokumentation rörande de patienter som efter att ha blivit informerade valt att inte motsätta sig den sammanhållna journalföringen får däremot göras tillgängliga genom direktåtkomst. I sådant fall finns patientens uppgifter potentiellt tillgängliga för den som i en viss situation möter patienten och då har ett behov av att ta del av uppgifter en annan vårdgivare har gjort tillgängliga. För att personal i en sådan situation få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs att

1. uppgifterna rör en patient som vårdgivaren har en aktuell

patientrelation med,

2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller

behandla sjukdomar och skador hos patienten, och

3. patienten samtycker till det.

Det första kravet ovan, att det finns en aktuell patientrelation, är inte en regel om s.k. inre sekretess utan anger endast under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst

SOU 2014:23 Informationshantering inom hälso- och sjukvården

99

som vårdgivaren medgetts genom systemet för sammanhållen journalföring. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares uppgifter till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Begreppet patientrelation är inte definierat i lagstiftningen. I Patientdatautredningens betänkande1 anförs att det normalt inte borde uppstå några tveksamheter huruvida en aktuell patientrelation föreligger eller inte. Enligt utredningen bör en patientrelation t.ex. anses avslutad då en intagen sjukhuspatient skrivs ut som färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Vidare ansåg utredningen att detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi och att man vid tveksamheter får överlåta till rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.

Vidare krävs att personalen som avser att ta del av uppgifter om patienten bedömer om uppgifterna kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett förhållandevis lågt ställt krav, men kräver ändå att ett ställningstagande görs. Genom bestämmelsen tydliggörs även att direktåtkomsten endast får användas för vårdändamål och inte för andra syften som exempelvis kvalitetssäkring och verksamhetsutveckling. Däremot får direktåtkomsten även användas för att utfärda sådant intyg om vården, som patienten begär.

Det tredje villkoret för åtkomst är att patienten samtycker till det. Med samtycke avses här ett aktivt samtycke från patienten till att direktåtkomst till en annan vårdgivares vårddokumentation används. Vidare följer att det ska vara fråga om ett samtycke enligt personuppgiftslagen (1998:204), dvs. att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara ett samtycke enligt personuppgiftslagen innebär bl.a. att det endast är patienten själv, eller en legal ställföreträdare, som kan lämna ett samtycke. Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras finns däremot inte.

1 Patientdatautredningens huvudbetänkande; Patientdatalag, SOU 2006:82 s. 301.

Informationshantering inom hälso- och sjukvården SOU 2014:23

100

5.2.5 Enskilds möjlighet att ta del av uppgifter genom direktåtkomst

I äldre lagstiftning fanns bestämmelser som omöjliggjorde för vårdgivare att ge patienter direktåtkomst till journaluppgifter om patienten själv. Genom patientdatalagen har dock möjliggjorts för vårdgivare att medge en enskild direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Bestämmelsen innebär således en möjlighet för en vårdgivare, ingen skyldighet, att erbjuda patienten direktåtkomst till journaluppgifter.

För att understryka att en sekretessprövning i enlighet med 25 kap. 6 § OSL är nödvändig i samband med att uppgifter lämnas ut till patienten, vare sig det görs manuellt eller elektroniskt, anges i patientdatalagen att direktåtkomsten endast får avse uppgifter som

får lämnas ut till patienten.

Under samma förutsättningar får patienten även medges direktåtkomst till dokumentation om den åtkomst till uppgifter som förekommit om den enskilde, s.k. logglistor.

5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14)

Socialstyrelsen har med stöd av bl.a. patientdataförordningen (2008:360) utfärdat föreskrifter som kompletterar patientdatalagens bestämmelser om vårdgivares behandling av personuppgifter i hälso- och sjukvården.2

Föreskrifterna, som delvis har utfärdats efter samråd med Datainspektionen, innehåller bestämmelser om ansvar för informationssäkerhet, rutiner för journalföring och rutiner för hantering av patientuppgifter. Dessutom finns särskilda bestämmelser om enskild verksamhets upphörande.

I kapitlet om informationssäkerhet finns exempelvis krav på behörighetsstyrning och åtkomstkontroll samt att vårdgivare som använder öppna nät (t.ex. Internet eller Sjunet) för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att

2 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

SOU 2014:23 Informationshantering inom hälso- och sjukvården

101

1. överföring av patientuppgifter görs på ett sådant sätt att ingen

obehörig kan ta del av uppgifterna, och

2. åtkomst till patientuppgifter föregås av stark autentisering.

Vidare finns detaljerade krav på hur åtkomst till patientuppgifter får gå till såväl inom en vårdgivares verksamhet som när direktåtkomst till sammanhållen journalföring nyttjas. Bland annat ställs krav på att patientuppgifter inte görs tillgängliga utan att användaren gör ett antal aktiva val, dvs. ställningstaganden till om han eller hon har rätt att ta del av de aktuella uppgifterna.

Det finns även närmare bestämmelser som rör patientens möjlighet att genom direktåtkomst få ta del av sina patientuppgifter, dvs. journaluppgifter som rör patienten själv. Vårdgivare som medger en enskild direktåtkomst ska även ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska lämnas ut genom direktåtkomst.

När en enskild verksamhet ska upphöra finns bestämmelser om att vårdgivaren ska säkerställa att de patientjournaler som finns i verksamheten tas om hand på ett sådant sätt att obehöriga inte kan ta del av dem. Om journalerna inte kan tas om hand på ett sådant sätt ska vårdgivaren ansöka hos Socialstyrelsen om omhändertagande av patientjournalerna.

5.2.7 Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet

I och med patientdatalagens ikraftträdande undanröjdes några hinder i äldre lagstiftning för vårdgivares möjligheter att följa upp, utveckla och kvalitetssäkra sin verksamhet. Av lagens ändamålsbestämmelse framgår att vårdgivare, inom sin egen verksamhet, får hantera personuppgifter för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Ofta innebär det att personuppgifter som dokumenterats för vård- och behandlingsändamål i den individinriktade verksamheten, sedan används för verksamhetsuppföljning på olika nivåer inom vårdgivarens verksamhet. Men det kan även vara aktuellt att hantera andra personuppgifter, som inte samlats in i vården av patienten, för att utveckla verksamheten. De begränsningar till samkörning av olika register,

Informationshantering inom hälso- och sjukvården SOU 2014:23

102

t.ex. journalsystem och patientadministrativa system, som fanns i tidigare lagstiftning har också tagits bort.

Dessutom har de sekretessbrytande bestämmelserna mellan olika nämnder i en kommun eller ett landsting gjort det möjligt för landsting och kommuner att följa upp sin verksamhet, även om verksamheten drivs av flera olika nämnder eller sådana kommunala företag som avses i 2 kap. 4 § OSL.

Även om det nu finns bättre förutsättningar för vårdgivare att hantera personuppgifter för att följa upp sin egen verksamhet gäller alltjämt de grundläggande kraven i personuppgiftslagen. Det innebär exempelvis att det bara är tillåtet att basera verksamhetsuppföljningen på personuppgifter om det inte är tillräckligt med hänsyn till ändamålet att använda indirekt utpekande eller avidentifierade uppgifter.

5.2.8 Verksamhetsuppföljning över vårdgivargränser

I patientdatalagen finns, förutom regelverket för regionala och nationella kvalitetsregister, inga särskilda bestämmelser som syftar till att möjliggöra verksamhetsuppföljning över vårdgivargränser.

Patientdatautredningen ansåg exempelvis inte att det var motiverat att tillåta direktåtkomst vid sammanhållen journalföring för andra ändamål än patientvård eller för att på patientens begäran utfärda intyg. Inga andra ändamål är således tillåtna, inte ens med patientens samtycke.

Samtidigt anförde utredningen3att det sagda inte hindrar vårdgivare A från att följa upp den egna verksamheten genom att använda den egna vårddokumentationen och, om det verkligen bedöms vara nödvändigt, den vårddokumentation hos vårdgivare B som vårdgivare A med patientens samtycke tagit del av genom sin direktåtkomst och som lagts till grund för det egna arbetet. Resonemanget utvecklades emellertid inte ytterligare och det får därmed anses oklart hur och under vilka närmare förutsättningar en sådan uppföljning skulle ske.

I övrigt är verksamhetsuppföljning över vårdgivargränser, åtminstone teoretiskt, möjligt om en sekretessprövning utfaller i bedömningen att uppgifterna kan lämnas ut till den vårdgivare som ska göra den gemensamma uppföljningen. Det låter sig dock inte göras några generella uttalanden kring i vilka fall ett sådant utläm-

SOU 2014:23 Informationshantering inom hälso- och sjukvården

103

nande kan göras. Jämfört med vad som gäller i den individinriktade verksamheten torde en sekretessprövning enligt OSL oftare leda till bedömningen att uppgiften inte kan lämnas ut, om syftet med utlämnandet är verksamhetsuppföljning och inte att bereda den enskilde nödvändig vård och behandling.

5.2.9 Särskilt om nationella kvalitetsregister

Genom patientdatalagen har hanteringen av personuppgifter i nationella och regionala kvalitetsregister reglerats. Med nationella kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Kvalitetsregistren ska även möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I linje med detta gäller bestämmelserna i 7 kap. patientdatalagen för nationella eller regionala kvalitetsregister i vilka personuppgifter samlats in från flera vårdgivare. Regelverket ger därmed stöd för en särskilt form av verksamhetsuppföljning över vårdgivargränser.

Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till medverkan i den verksamhetsuppföljning som görs i ett kvalitetsregister är den personuppgiftsansvarige skyldig att, innan uppgifterna registreras, lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret.

Informationsplikten innebär således att de personuppgiftsansvariga aktivt måste uppmärksamma patienten på villkoren för registrering, t.ex. genom att hänvisa till och tillhandahålla den relevanta informationen. Information ska bl.a. lämnas om ändamålet med registret, vilka kategorier av uppgifter som behandlas, vem som är personuppgiftsansvarig, att registreringen är frivillig, att patienten när som helst har rätt att få uppgifter om sig själv utplånade ur registret, vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till m.m.

När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens som i personuppgiftslagens mening, lämnas ut från den inrapporterande

Informationshantering inom hälso- och sjukvården SOU 2014:23

104

vårdgivaren till den mottagande aktören. För att möjliggöra detta utlämnande har det införts en bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

Personuppgifter i nationella kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det handlar således i första hand om att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar för, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, t.ex. diabetes, eller för en viss åtgärd, t.ex. höftoperationer.

Samtidigt får de personuppgifter som samlats in för det primära ändamålet även behandlas för vissa andra, sekundära ändamål, nämligen för framställning av statistik och forskning inom hälso- och sjukvårdsområdet. Med det särskilda ändamålet framställning av statistik avses inte sådana uppgifter som sammanställs statistiskt t.ex. i de kontinuerliga återrapporteringar eller i de årsböcker som framställs i själva kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet avser således statistik som kan användas för andra syften än att förbättra vårdens kvalitet.

Att det är tillåtet att personuppgifter som samlats in för kvalitetssäkring även används i forskning inom hälso- och sjukvårdsområdet innebär emellertid inget undantag från övriga rättsliga krav för att forskning på känsliga personuppgifter ska få äga rum. Det innebär att krav på etikprövning alltjämt gäller om forskning ska göras på uppgifter som registrerats i nationella kvalitetsregister.

Vidare anges i patientdatalagen att uppgifter även får behandlas för att lämnas ut till någon som ska använda uppgifterna för något av de tidigare nämnda tillåtna primära eller sekundära ändamålen. Dessutom anges som ett sista tillåtet ändamål visst fullgörande av uppgiftsskyldighet som följer av lag eller förordning.

Det är uttryckligen förbjudet att behandla personuppgifter i nationella kvalitetsregister för andra ändamål än de nämnda, dvs. för

1. att systematiskt och fortlöpande utveckla och säkra vårdens

kvalitet,

2. framställning av statistik,

SOU 2014:23 Informationshantering inom hälso- och sjukvården

105

3. forskning inom hälso- och sjukvården,

4. utlämnande till den som ska använda uppgifterna för något av

ändamålen i punkterna 1–3, och

5. fullgörande av någon annan uppgiftsskyldighet som följer av lag

eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen.

Det ska uppmärksammas att det finns ett undantag från ovanstående förbud att behandla personuppgifter för andra ändamål än de uppräknade, nämligen om den enskilde har lämnat ett särskilt och uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål.

Personuppgiftsansvaret för den behandling av personuppgifter som föranleds av registrering i nationella kvalitetsregister kan sägas vara uppdelad på två nivåer, en lokal och en central nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitetsregister, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta personuppgiftsansvar ingår att personuppgifterna hanteras i enlighet med patientdatalagens krav, exempelvis att information har tillhandahållits patienten, att patienten inte motsatt sig registrering, att uppgifterna är korrekta m.m.

För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL). Det har fått till följd att det för varje nationellt kvalitetsregister har utsett en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstingsstyrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att felaktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstiftningen m.m.

Patientdatalagen medger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett regionalt eller nationellt kvalitetsregister. Direktåtkomsten kan användas av den

Informationshantering inom hälso- och sjukvården SOU 2014:23

106

inrapporterande vårdgivaren för att lokalt arbeta med att utveckla och säkra verksamhetens kvalitet.

Till skillnad mot vad som gäller för vårddokumentationen anges som huvudregel att uppgifter i kvalitetsregister ska gallras när de inte längre behövs för ändamålet kvalitetssäkring. Arkivmyndigheten kan dock genom beslut bestämma att uppgifterna ska bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål.

107

6 En ändamålsenlig informationshantering – iakttagelser och reflektioner

6.1 Bakgrund

När patientdatalagen (2008:355), förkortad PDL, trädde i kraft hade den varit efterlängtad i många år. Patientjournallagen (1985:562) och vårdregisterlagen (1998:544) som hade gällt fram till dess var omoderna och svåra att tillämpa på modern kommunikation. Regelverket för hälso- och sjukvårdens hantering av personuppgifter ansågs splittrad och otydlig.1Det var därför många som såg fram mot den nya lagen. Nu skulle det äntligen bli möjligt att initiera utvecklingsarbeten för en modern informationshantering där ändamålsenliga tekniska lösningar skulle användas för utbyte av information över vårdgivargränserna. Till viss del handlade det även om att sådant informationsutbyte som redan hade börjat utvecklats skulle bli laglig, exempelvis utbyte av uppgifter genom direktåtkomst mellan vårdgivare.

Samtidigt med att patientdatalagen trädde i kraft den 1 juli 2008 började även Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården att gälla. I föreskrifterna finns mer detaljerade krav på vårdgivarna avseende informationssäkerhet och journalföring. Under våren 2009 gavs Socialstyrelsens handbok till föreskrifterna ut på internet.

Såväl Socialstyrelsen, Datainspektionen och Sveriges Kommuner och Landsting (SKL) genomförde under första åren olika satsningar för att informera om den nya lagen; konferenser, utbildningsdagar genomfördes och olika former av informationsmaterial togs fram.

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

108

Entusiasmen var stor från myndighetshåll, i kommuner och landsting, bland privata vårdgivare och bland leverantörer och itutvecklare. Patientdatalagen erbjöd nya möjligheter till informationsutbyte mellan olika vårdgivare och tydliggjorde hur vårdgivare måste arbeta med att tilldela behörigheter och kontrollera hur åtkomsten används. Lagen erbjöd dessutom nya möjligheter för patienterna att förfoga över hur åtkomsten till uppgifterna skulle få användas. Och gjorde det tillåtet för vårdgivarna att ge patienten själv elektronisk åtkomst till sin journal. En annan nyhet var att de nationella och regionala kvalitetsregistren blev reglerade i lag.

Sverige har kommit långt när det gäller användning av it-system som stöd i den dagliga verksamheten och för utveckling samt när det gäller säkerhet och behörighet. Staten och huvudmännen har gjort stora investeringar för att skapa goda grundförutsättningar för en mer ändamålsenlig informationshantering. Satsningar har gjorts och görs på exempelvis it-infrastruktur, säkerhetslösningar och för att införa en nationell informationsstruktur och ett nationellt fackspråk. Vidare håller man nu på att införa bl.a. nationell patientöversikt, sammanhållna journalsystem och elektroniska beslutsstöd inom hela vård- och omsorgssektorn.

Landstingen har arbetat med att införa it-stöd för vårddokumentation under många år och i dagsläget finns elektroniska journalsystem vid i princip alla sjukhus samt inom hela primärvården. It-kostnaderna i landstingen uppgick till uppskattningsvis 8 miljarder kronor 2012, vilket är 3 procent av den totala kostnaden för landstingens hela verksamhet. Antalet it-system inom hälso- och sjukvården är relativt stort. Utöver elektronisk journalhantering, där det i dag finns sex större system i Sverige, finns en mängd olika dokumentationssystem, t.ex. för läkemedelshantering, mödrahälsovård, operationsplanering, akutsjukvård och patientadministration.

Det finns alltså i stort en positiv utveckling när det gäller ehälsa. Men det finns också många utmaningar. Huvudmännen för vård och omsorg använder fortfarande många gamla system för informationshantering. System som inte är helt anpassade till de krav som måste ställas på modern informationshantering. Datainspektionen har t.ex. i sin tillsyn observerat att vårdgivarna har haft problem med att anpassa it-systemen till de krav som ställs patientdatalagen. Även Riksrevisionen har pekat på ett antal

SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner

109

utmaningar för hälso- och sjukvårdens informationshantering.2Vidare har i många olika sammanhang uppmärksammats att lagstiftningen upplevs hindra en önskad utveckling. Utredningen har även kunnat konstatera att det, på flera olika nivåer i hälso- och sjukvården, finns en relativt utbredd osäkerhet kring hur patientdatalagen ska tillämpas. Nya organisatoriska förutsättningar är ytterligare en faktor som har kommit att påverka möjligheterna till en ändamålsenlig informationshantering i hälso- och sjukvården.

6.1.1 Vårt uppdrag och våra utgångspunkter

Utredningen har som ett övergripande uppdrag att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) för en sådan informationshantering som finns i dag och i förekommande fall i vilka lagar dessa hinder finns.

Under utredningens arbete har det blivit tydligt att många faktorer måste samspela om hälso- och sjukvården ska få till stånd en informationshantering som bidrar till ännu bättre resultat för patienterna. Lagstiftningen spelar naturligtvis en viktig roll för att tillhandahålla möjligheter och ställa krav som är väl anpassade till de behov som finns för att patienten ska få en god och säker vård alldeles oavsett vilka vårdgivare patienten möter på sin resa genom hälso- och sjukvården. Andra grundläggande faktorer som i olika grad har direkt påverkan på förutsättningarna för en ändamålsenlig informationshantering är exempelvis hälso- och sjukvårdens organisatoriska strukturer, ledning och styrning, professionskulturer, arbetssätt, itutveckling och informatik. Utredningens utgångspunkt är att alla dessa faktorer måste beaktas när frågor om informationshantering analyseras.

I det följande redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.

2 Riksrevisionens rapport (RiR 2011:19) Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan.

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

110

6.2 Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte

Hälso- och sjukvården har alltsedan patientdatalagen trädde i kraft genomgått stora strukturförändringar, varav en av de mest markanta är ökningen av andelen privata vårdgivare. Siffror från SKL visar att landstingens köp av vårdtjänster från privata leverantörer har ökat från 18 miljarder kronor till cirka 32 miljarder kronor under perioden 2006–2012. Vi har i tidigare avsnitt redovisat att det bara i Stockholms läns landsting finns, förutom offentliga vårdleverantörer, omkring 3 000 privata verksamheter som bedriver hälso- och sjukvård (inklusive företagare på nationella taxan och inom tandvården). Även om mångfalden av privata och offentliga vårdgivare skiljer sig åt i olika delar av landet pekar den sammantanga utvecklingen på att mångfalden ökar och att de privata vårdgivarna blir fler. Samtidigt är det, i allt väsentligt, kommuner och landsting som finansierar såväl de offentliga som de privata vårdgivarnas verksamhet. Tillsammans med det ökade antalet vårdgivare har även specialiseringen inom hälso- och sjukvården ökat.

Utvecklingen har medfört att det ofta är fler aktörer än tidigare inblandade i vården av samma patient. Det finns många exempel på detta och här kan bland annat nämnas den mångfald av vårdgivare i ambulanssjukvården som exempelvis finns i Stockholms läns landsting. Det är i dag inte ovanligt att den privata vårdgivare som står för insatserna i ambulansen assisteras av en akutbil med läkare eller sjuksköterskor från en annan privat vårdgivare. För patienter som är i behov av koordinerade insatser från primärvården och specialistvården är det i dag snarare regel än undantag att samarbetet inbegriper två eller fler självständiga vårdgivare. Bara i byggnaderna som utgör Danderyds sjukhus finns i dag, såvitt utredningen kunnat bedöma, åtminstone sex olika vårdgivare som samarbetar i vården av patienterna. Utvecklingen ser i stort likadan ut i den landstingsfinansierade och i den kommunalt finansierade hälso- och sjukvården. Även i kommunal hälso- och sjukvård har antalet vårdgivare som bedriver hälso- och sjukvård i särskilda boenden eller i hemsjukvården ökat. Inte sällan kan även två eller fler vårdgivare i kommunal hälso- och sjukvård behöva samarbeta tätt i vården av patienterna, exempelvis om en vårdgivare står för verksamheten under dagtid och en annan under kvällstid. Eftersom landstingen fortfarande är den aktör som står för läkarinsatserna i särskilda boenden och i hemsjukvården har patienter i den kommunala hälso- och sjukvården dessutom alltid

SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner

111

behov av insatser från en vårdgivare från den landstingsfinansierade hälso- och sjukvården.

Sammantaget har de organisatoriska förändringarna påverkan både på behoven av och möjligheterna till en ändmålsenlig informationshantering. I vården av enskilda patienter finns i dag ett grundläggande behov av att kunna utbyta information mellan två eller fler vårdgivare. Samtidigt är de rättsliga förutsättningarna för att utbyta information olika utformade beroende på om vården ges av flera eller endast av en vårdgivare. Möjligheterna att utbyta information är med den lagstiftning vi har i dag beroende av hur vården är organiserad. Samtidigt som det kommit nya möjligheter att göra nödvändig information tillgänglig i hälso- och sjukvården så innebär strukturförändringarna att förutsättningarna för nödvändigt informationsutbyte har blivit sämre. Rådande regelverk innebär att villkoren för en effektiv och säker informationshantering är starkt beroende av hur landstinget eller kommunen organiserar sig. Ett landsting eller en kommun med få privata vårdgivare i sitt offentligfinansierade system har i dag väsentligt bättre legala förutsättningar för en ändamålsenlig informationshantering än ett landsting eller en kommun med många privata utförare i den offentligt finansierade verksamheten.

Regelverkets organisatoriska fokus har inte endast påverkan på möjligheterna att hantera och utbyta information i den individinriktade patientvården, utan även på möjligheterna att säkra och utveckla kvaliteten i den hälso- och sjukvård som patienterna erbjuds. Inte sällan behöver dokumenterade personuppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av dessa och patienters samt närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett ständigt förbättringsarbete. Dagens hälso- och sjukvård med patientrörlighet, valfrihet för individer, ökad mångfald av vårdgivare och en ökad specialisering ställer delvis nya krav på kvalitetssäkringen. Även den informationshanteringen behöver därför ta sin utgångspunkt i och följa patienten i dennes möten med kommunala, landstingsdrivna och privata vårdgivare under ett visst vårdåtagande eller vårdprocess.

Det finns mot denna bakgrund anledning att analysera hur det rättsliga regelverket kan utformas så att en ändamålsenlig informationshantering kan åstadkommas oavsett hälso- och sjukvårdens organisation och alldeles oberoende om den enskilde patienten får sitt hälso- och sjukvårdsbehov tillgodosett av en eller fler vårdgivare.

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

112

6.3 Informatik och it-frågor

Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och implementera ett nationellt fackspråk och en mer strukturerad dokumentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik hälso- och sjukvård för alla, oavsett vilket landsting eller vilken kommun medborgaren bor i eller vilken vårdgivare medborgaren väljer för att få sitt behov av hälso- och sjukvård tillgodosett. Eftersom en strukturerad dokumentation enligt ett nationellt fackspråk på ett annat sätt än en informationshantering med mer fria ramar, kan bli kunskapsstyrande och mer direkt påverka arbetssätt och arbetsflöden i hälso- och sjukvården, kan det i viss mån även betraktas som en demokrati- och rättvisefråga.

Hälso- och sjukvårdens informationshantering handlar i dag om så mycket mer än att yrkesutövare i efterhand ska dokumentera sina bedömningar, ställningstaganden och åtgärder kring enskilda patienter. Genom en mer strukturerad journalföring kan hälso- och sjukvårdspersonalen i större utsträckning dokumentera i anslutning till hälso- och sjukvårdsinsatserna och då få stöd direkt i arbetsflödet. Förutom att en strukturerad dokumentation kan bidra till att det blir lättare att göra rätt, kan det även leda till en mer jämlik vård genom att det blir styrande för hur all personal ska agera och dokumentera i olika situationer.

Utredningen har under arbetet exempelvis besökt de amerikanska hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare för att bland annat ta del av deras utvecklingsarbeten kring informationshantering och förbättringsarbete i hälso- och sjukvården. En av erfarenheterna från besöket var bland annat det målmedvetna arbetet som lagts ner just på att få informationshanteringen att stödja de centrala arbetsprocesserna i verksamheten. Intermountain Healthcare hade exempelvis infört strukturerad dokumentation med kopplade beslutsstöd för ett 30-tal olika processer i hälso- och sjukvården. För att ständigt utveckla arbetet och se till att den strukturerade dokumentationen hela tiden förändras och anpassas i takt med att ny kunskap genereras om vad som betraktas som hög kvalitet och säkerhet i verksamheten fanns även fastställda och implementerade organisatoriska strukturer för denna typ av kunskapsstyrning. Enligt utredningens bedömning finns

SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner

113

flera paralleller mellan dessa organisationers strävan efter att skapa en informationshantering som leder till bättre resultat för patienterna och den utveckling som vi har kunnat se även i Sverige.

En ändamålsenlig hantering av dokumenterade uppgifter kan enligt utredningen exempelvis leda till att olika former av anpassade beslutsstöd tas fram och används i den patientnära verksamheten. Beslutsstöd som exempelvis utifrån den enskilda patientens förutsättningar, tillsammans med inbyggda kunskapskällor, kan ge hälso- och sjukvårdspersonalen bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än manuella journalgenomgångar. Informationshanteringen i hälso- och sjukvården blir då inte enbart fokuserad på att uppgifter dokumenteras, utan även hur de används för att skapa bästa möjliga nytta för patienten. Dessutom ökar möjligheterna till uppföljning för att utveckla och säkra kvaliteten i hälso- och sjukvården samt göra jämförelser över landet.

Vidare kan konstateras att informationshanteringen i hälso- och sjukvården i dag även handlar mycket om hur informationen presenteras för hälso- och sjukvårdspersonalen. Med en mer strukturerad dokumentation ökar sannolikt förutsättningarna för att utforma journalsystemens gränssnitt efter de individuella användarnas behov, så att den enskilde yrkesutövararen snabbt och säkert får tillgång till de uppgifter som är nödvändiga för arbetets utförande. Förutom att det kan bidra till en ökad kvalitet och effektivitet i hälso- och sjukvården medför det även att patienternas behov av skydd för den personliga integriteten tillvaratas, genom att uppgifter som användaren inte har behov av inte heller exponeras i lika stor utsträckning som i dag.

Denna utveckling mot en mer strukturerad dokumentation enligt ett nationellt fackspråk kan därmed även ha en avgörande påverkan på möjligheterna att utveckla ett ändamålsenligt system för tilldelning av behörighet för åtkomst, så att varje användare i systemen får en individuell behörighet som är anpassad och begränsad till den åtkomst som behövs för att utföra arbetet.

I sammanhanget kan även nämnas att Myndigheten för vårdanalys har genomfört en studie som identifierar de huvudsakliga utvecklingsområden för en mer effektiv användning av läkares tid och kompetens inom hälso- och sjukvården i Sverige.3 Ett av de utvecklingsområden som identifierat är att it-stöden måste förbättras. Läkare arbetar i it-system som inte upplevs som användar-

3 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

114

vänliga. Konkreta brister som nämns i rapporten är dålig överskådlighet, dålig läsbarhet, osäkerhet om innebörden av menyer och flikar, avsaknad av sökfunktioner, osäkerhet om begrepp och termer och dålig intuitivitet. Informationen i systemen är inte strukturerade och presenterade på ett sätt som underlättar arbetet. Av rapporten framkommer även att läkare använder flera olika itsystem, men att kompabiliteten mellan systemen upplevs som bristfällig. Flera parallella system medför ständiga in- och utloggningar. Information överförs inte alltid automatiskt mellan olika system, vilket leder till konsekvenser ut effektivitets- arbetsmiljö- och patientsäkerhetsperspektiv.

Dessa iakttagelser bekräftas av rapporten Störande eller stödjande.4I rapporten presenteras tio punkter som behöver prioriteras i arbetet med att utveckla eHälsosystemens användbarhet. Av prioriteringsområdena kan t.ex. nämnas att it-systemen måste förvaltas, utvärderas och tillsynas och kontinuerligt optimeras i förhållande till användbarheten i den verksamhet som ska stödjas.

Utredningen har även identifierat ett behov av ökad kunskap om lagstiftningen i samband med framtagandet av journalsystem och enskilda tekniska funktioner. Genom våra kontakter med företrädare för hälso- och sjukvården har vi kunnat ta del av exempel där it-stöd inte har utformats på ett ändamålsenligt sätt. Det finns med avseende på detta både exempel på när it-stöden inte gör det möjligt för användarna att bedriva sitt arbete i enlighet med de krav som ställs upp i integritetsskyddslagstiftningen och exempel där kraven i lagstiftningen har implementerats på ett olämpligt eller alltför långtgående sätt. Eftersom journalsystemen ofta är det gränssnitt där hälso- och sjukvårdspersonalen möter den tillämpade juridiken, blir effekterna av olämplig eller felaktig implementering extra stora. Det kan enligt utredningens uppfattning inte uteslutas att brister i it-stödens utformning i vissa delar kan spilla över på hälso- och sjukvårdspersonalens frustration över vad de upplever som rättsliga hinder.

Sammantaget finns mot ovanstående bakgrund anledning att analysera vilka åtgärder, i form av förändrad lagstiftning och andra insatser, som ytterligare kan stimulera en önskad utveckling i frågor som relaterar till informatik och it.

4 Störande eller stödjande. eHälsosystemens användbarhet 2013. Slutrapport från projektet eHälsosystemens användbarhet 2013.

SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner

115

6.4 Patientdatalagen och tillämpningsproblemen

Informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoses patientsäkerhet, god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Det är så patientdatalagens syfte är uttryckt (1 kap. 2 § PDL).

Patientdatalagen ska alltså främja kvalitet och patientsäkerhet i vid bemärkelse. God och säker vård innefattar såväl professionella vårdinsatser som säker hantering av de uppgifter som hör samman med hälso- och sjukvårdsinsatserna. Säker hantering av information innebär således både att uppgifterna måste finnas tillgängliga när det behövs och att de måste skyddas från obehörigas åtkomst.

En tillgänglighetsreform som inte fullt slagit igenom

Patientdatalagen ersatte patientjournallagen och vårdregisterlagen. Patientjournallagen reglerade journalföringen och vårdregisterlagen reglerade automatiserad behandling av personuppgifter i s.k. vårdregister. Den nya lagen har bland annat tillfört nya möjligheter till informationsutbyte mellan vårdgivare samt preciserat de integritetsskyddkrav som ska gälla vid hantering av så känsliga personuppgifter som det är fråga om inom hälso- och sjukvården. I patientdatalagen finns dock inga uttryckliga krav på vårdgivarna att se till att vårddokumentationen är tillgänglig och användbar eller att informationssystemen som används i verksamheten ska vara ändamålsenliga. De regler som är till för att skydda uppgifterna från obehörig åtkomst blev genom den nya lagen betonade, medan lagens övriga syften inte uttrycktes genom materiella regler. Det här kan enligt utredningens bedömning vara en av orsakerna till att lagen inte har uppfattats som den tillgänglighetsreform som den är tänkt att vara.

Patientdatalagen syftar till att främja både patientsäkerhet och integritet vid behandling av personuppgifter. Detta kommer för det mesta inte fram i den allmänna debatten. Det är ofta de bestämmelser i lagen som syftar till att skydda uppgifterna från obehörig spridning som blir omdiskuterade eller föremål för frågor om tillämpning. Lagens syfte att säkerställa att rätt uppgifter också

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

116

finns tillgängliga för behöriga användare har tenderat att hamna i skymundan bakom den nog så viktiga integritetsfrågan.

För att en lagstiftning ska få avsedd effekt på ett sådant sätt att lagstiftningens intentioner förverkligas är det, enligt vår bedömning, viktigt att lagstiftningens olika värden är uppenbara för dem som ska tillämpa lagstiftningen. Det kan därför finnas skäl att överväga om regleringen av hälso- och sjukvårdens personuppgiftsbehandling på ett tillräckligt tydligt sätt lyfter fram vikten av att den som arbetar i hälso- och sjukvården har tillgång till den information som behövs för att ge patienten bästa möjliga vård och omhändertagande och hur det kan göras utan att för den skull låta skyddet för den personliga integriteten hamna i skymundan.

Tillämpningsproblem

Allt sedan patientdatalagens ikraftträdande har det även pågått en allmän diskussion huruvida lagen är ändamålsenlig med hänsyn till syftet med lagen och förutsättningarna i hälso- och sjukvården. Av de frågor från yrkesverksamma och representanter för vårdgivare som kommer in till exempelvis Socialstyrelsen, Datainspektionen, regeringskansliet och Sveriges Kommuner och Landsting framgår att det finns en osäkerhet om hur lagen ska tillämpas. Även utredningen har genom hela arbetets gång i samband med möten, konferenser och studiebesök bevittnat att det finns både en osäkerhet kring lagens tillämpning, men även ett missnöje med hur lagen i olika avseenden är utformad. Vårdgivare har även framfört att de saknat stöd vid tolkning av lagen vilket skapat problem i tillämpningen. Detta lyser också igenom i den debatt om lagen som förts av hälso- och sjukvårdspersonal bl.a. i Läkartidningen.5

Det har även i debattartiklar i dagspress höjts röster för att patientdatalagen inte är ändamålsenlig och bör ändras.6Företrädare för Sveriges Yngre Läkares Förening, SYLF, har även i en debattartikel uttalat att föreningen anser att patientdatalagen är för strikt utformad och riskerar att försämra patientsäkerheten.7Vidare har representanter för Läkarförbundets centralstyrelse och ordföranden i SYLF m.fl. i Dagens Medicin framfört att patient-

5 Flera artiklar i Läkartidningen, bl.a. i nr 15 2013 Patientdatalagen ger ansvariga tjänstemän

huvudbry.

6 Exempelvis Svenska Dagbladet, 2012-12-30, Läkare förbjuds att läsa journaler. 7 Svenska Dagbladet, 2012-10-25, Patientdatalagen är alltför strikt formad.

SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner

117

datalagen skapar en onödig osäkerhet bland vårdpersonal, patienter och allmänhet och av den anledningen borde moderniseras.8

Att det finns oklarheter i tillämpningen av patientdatalagen har även uppmärksammats i en rapport från 2013 framtagen av Svensk sjuksköterskeförening, Svenska Läkaresällskapet, Sveriges Läkarförbund, Vårdförbundet och Kommunal.9 Det behövs rättsligt stöd för att kunna hantera och utbyta information på ett enkelt, säkert och etiskt försvarbart sätt. I dag finns det enligt rapporten oklarheter ute i verksamheterna om vad som är juridiskt möjligt. Användare av it-system uppfattar att lagstiftningen förhindrar informationsdelning, uppföljning, utvärdering och kvalitetssäkring av den egna verksamheten.

Även Riksrevisionen konstaterade i sin rapport Rätt information

vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? att

vägledningen för att tillämpa lagen har varit otillräcklig.

I rapporten Ur led är tiden har Myndigheten för vårdanalys identifierat att värdet av viss patientrelaterad administration kan ifrågasättas i relation till arbetsinsatsen.11Kraven på patientrelaterad dokumentation upplevs ha ökat, särskilt vad gäller patientjournalens innehåll. Särskilt kravet på signering av journalanteckningar ifrågasätts. Det nämns att flera landstingsföreträdare tvivlar på om signeringskravet verkligen bidrar till en högre patientsäkerhet eftersom de är tveksamma till om läkare i detalj går igenom sina anteckningar vid signering.

Utredningens delredovisning enligt direktiv 2013:43

Utredningens övergripande uppdrag är att lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om se till att yrkesutövare inom båda områdena, i rätt tid får tillgång till den information om den enskilde som behövs för att kunna ge god vård och omsorg och för att kunna följa upp kvaliteten i verksamheten.

Bland annat mot bakgrund av vad som redovisas ovan om osäkerheten i tillämpningen har utredningen fått i uppdrag att

8 Dagens Medicin, 2012-10-25, Modernisera patientdatalagen och tillämpa den bättre. 9Störande eller stöjdande? Om eHälsosystemens användbarhet 2013. 10 RiR 2011:9. 11 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

118

analysera vari tillämpningsproblemen ligger och hur dessa ska lösas. I utredningsdirektivet anför regeringen bland annat att det kan finnas behov av att förtydliga eller förändra relevant lagstiftning. Det kan också behöva utredas vilka behov som finns av exempelvis information, utbildning eller kompetenshöjande insatser av olika slag om vad den berörda lagstiftningen innebär samt överväga andra åtgärder än lagändringar.

Vidare fick utredningen i tilläggsdirektivet 2013:43 regeringens uppdrag att i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger till en ändamålsenlig informationshantering. Utredningen överlämnade delredovisningen den 31 december 2013 i form av en omfattande powerpointpresentation med frågor och svar samt tre utförligare promemorior. I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning valde utredningen således att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.

Sammantaget utgör delredovisningen en del i utredningens uppdrag att analysera tillämpningsproblemen och lämna förslag till hur de kan lösas samt vilka behov av kunskapshöjande insatser som bedöms finnas.

Ytterligare behov av analys

Utredningen anser att patientdatalagen erbjuder många möjligheter att arbeta på ett ändamålsenligt sätt med vårddokumentation. Samtidigt visar såväl brister i efterlevnaden av lagstiftningen som vårdgivares och hälso- och sjukvårdspersonalens osäkerhet kring lagstiftningens tillämpning på att det finns skäl att ytterligare analysera om lagstiftningen i tillräckligt stor utsträckning stimulerar en önskad utveckling. De finns därför anledning att överväga behoven av att modernisera regleringen av informationshanteringen i hälso- och sjukvården och formulera regelverket på ett sådant sätt att det både blir mer pedagogiskt, dvs. enklare att tillämpa, och mer tydligt kring vad som ska uppnås.

SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner

119

6.5 Bristande efterlevnad av regelverket

Av tillsynsmyndigheternas granskningar har det framkommit att det finns brister i hur patientdatalagen implementerats och följts, framför allt avseende lagens integritetsskyddande bestämmelser.

Datainspektionen har allt sedan patientdatalagen trädde i kraft haft en aktiv tillsyn av hur lagen implementerats i hälso- och sjukvården. I denna tillsyn har Datainspektionen funnit en rad brister som gäller patienternas möjlighet att spärra information, hur patienterna informerats om vad sammanhållen journalföring innebär samt att vårdpersonalen har fått alltför omfattande behörighet att ta del av uppgifter.12Det har vidare vid tillsynen framkommit att vårdgivarna har stora problem att anpassa sina it-system till patientdatalagen. Brister har även funnits bland annat vad gäller efterlevnaden av bestämmelser om personuppgiftsbehandling i nationella och regionala kvalitetsregister.

Datainspektionen blev exempelvis sommaren 2013 klar med en uppföljande nationell kontroll av vårdgivare och hur dessa kan spärra känsliga patientuppgifter när en patient begär det. Granskningen visade att vårdgivare har börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen. Det var en förbättring jämfört med Datainspektionens granskning av spärrhanteringen år 2012. Vid den tidpunkten visade tillsynen att ingen av landstingen uppfyllde sina skyldigheter fullt ut mot patienterna.

Ett annat exempel är Datainspektionens granskning av behörighetstilldelningen på Karolinska Universitetssjukhuset i Stockholm. Granskningen visade enligt inspektionens bedömning att personalen hade för vid behörighet att komma åt patientuppgifter.13

Socialstyrelsens tillsyn genomförde 2011 tillsyn av sex av landets universitetssjukhus avseende informationssäkerheten. Vid samtliga sjukhus fanns brister som hade kunnat leda till att patienter kommer till skada. Exempelvis framkom att ett journalsystem hade räknat fram fel dos medicin. Vidare att personalen inte hade kunnat läsa eller skriva in uppgifter i journalen på grund av driftstopp. Ett annat exempel på brist var journalsystem som inte klarat att snabbt ge en översikt av de uppgifter som krävs för att göra en bedömning av kritiskt sjuka

12 Datainspektionens beslut 2011-06-01, dnr 461-2010 och ett antal beslut på grund av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården 2012 med uppföljning 2013 m.m. 13 Datainspektionens beslut 2013-08-26, dnr. 920-2012.

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

120

patienter. Resultatet pekade på brister i driftsäkerheten beroende på kvalitetsproblem i systemutvecklingen, bristande kontinuitetsplaner samt bristande styrning av informationssäkerhetsarbetet.14

Samtliga kommuner och landsting samt sjukvårdsregioner i landet blev 2010–2012 granskade i Socialstyrelsens nationella tillsyn av vård och omsorg om äldre. Resultatet av denna granskning presenteras i en slutrapport från Inspektionens för vård och omsorg 2013.15 I rapporten konstateras att äldre personer med stora, sammansatta behov av vård och omsorg är ofta omgivna av en mängd olika aktörer och personal. Tillsynen visade att det var ovanligt att mottagande verksamheter i öppenvården och inom äldreomsorgen fick uppgifter om läkemedel eller annan viktig information om den äldre senast samma dag som han eller hon skrivs ut från sjukhuset. Det visade sig även att det fanns risker för brister i informationsöverföring och patientsäkerhet vid utskrivning inför kvällar eller helger.

I rapporten konstateras att det ställs stora krav på personalen att informera och samordna insatserna när det finns flera aktörer med olika ansvar och uppdrag runt den äldre, särskilt i de delar av landet som har många privata utförare av vård och omsorg. Socialstyrelsen konstaterar att det som krävs för att säkerställa kvaliteten på de insatser som den äldre behöver, och för att förebygga att äldre drabbas av vårdskador i hälso- och sjukvården, är fungerande system för informationsöverföring och vårdplanering där olika yrkesgrupper i kommunen, öppenvården och den slutna vården samverkar i samråd med den äldre själv.

Dessa olika exempel från tillsynsmyndigheterna visar enligt utredningens bedömning att vårdgivarna måste ta ett större ansvar för informationshanteringen. Konsekvensen av de brister som Datainspektionen och Inspektionen för vård och omsorg iakttagit (och tidigare Socialstyrelsen) är patientsäkerhetsrisker. För att kunna erbjuda en god och säker vård behöver hanteringen av personuppgifter och informationssystemens ändamålsenlighet vara införlivat i det kontinuerliga och systematiska arbetet med att förbättra kvaliteten i vården. Mot den bakgrunden finns det enligt utredningens bedömning ett behov av en ökad ledning och styrning från vårdgivares sida i dessa frågor. Det finns därför skäl att överväga om lagstiftningen på ett tydligare sätt än i dag behöver

14Tillsynsrapport 2012, Socialstyrelsen. 15 Äldre efterfråga kontinuitet, Nationell tillsyn av vård och omsorg av äldre, Slutrapport 2013.

SOU 2014:23 En ändamålsenlig informationshantering – iakttagelser och reflektioner

121

uttrycka det ansvar vårdgivarna har för en säker och ändamålsenlig hantering av personuppgifter inom hälso- och sjukvården.

6.6 Kunskap, kompetens, ledning och styrning

Utredningen uppfattar att det, på motsvarande sätt som är fallet för socialtjänsten, finns ett behov av ökad kunskap och kompetensutveckling inom hälso- och sjukvården när det gäller förutsättningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen.

Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Inte minst behöver det stödet finnas i samband med framtagandet och utvecklingen av de verksamhetssystem som ska användas i vården.

Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Det är viktigt att denna utveckling fortsätter.

Det finns heller ingen anledning att ifrågasätta att det i hälso- och sjukvården finns respekt för och insikt om att de personuppgifter som hanteras många gånger är integritetskänsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhetskulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lagstiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga it-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.

En ändamålsenlig informationshantering – iakttagelser och reflektioner SOU 2014:23

122

6.7 Sammanfattande reflektioner

Utredningen bedömer att de problem och utmaningar som lyfts fram i det föregående är mångfacetterade och kan behöva lösas genom flera olika insatser. Även om det finns mycket som fungerar bra kan utredningen därför konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.

De faktorer vi sammanfattningsvis vill lyfta fram är följande.

• Behovet av att införa ett nationellt fackspråk och en informationsstruktur som stödjer ett evidensbaserat arbete.

• Behovet av att reducera de negativa konsekvenserna av regelverkets organisatoriska fokus.

• Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda patienter ligger i linje med de krav på samverkan som finns i lagstiftningen och de behov som finns för patienten.

• Behovet av att de rättsliga förutsättningarna för att säkra och utveckla hälso- och sjukvårdens kvalitet ligger i linje med de krav som finns i lagstiftningen.

• Behovet av en mer pedagogisk lagstiftning, dvs. som är lättare att tillämpa.

• Behovet av en lagstiftning som tydligare uttrycker de bakomliggande intentionerna och inte bara förhindrar det oönskade, utan även stimulerar det önskade.

• Behovet av ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information.

• Behovet av att det finns rättsliga och andra förutsättningar för att göra patienter informerade och delaktiga i sin hälsa och sin hälso- och sjukvård.

123

7 En ny lag: hälso- och sjukvårdsdatalag

7.1 Bakgrund

Den nuvarande regleringen av personuppgiftsbehandlingen inom hälso- och sjukvården finns framför allt i patientdatalagen (2008:355), förkortad PDL. Dessutom gäller i vissa delar även bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL. Utöver det finns närmare bestämmelser om hälso- och sjukvårdens personuppgiftsbehandling i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Genom patientdatalagens ikraftträdande den 1 juli 2008 upphävdes den tidigare patientjournallagen (1985:562) och vårdregisterlagen (1998:544). Patientdatareformen innebar bland annat att materiella bestämmelser om journalföring samlades tillsammans med bestämmelser om personuppgiftbehandling och åtkomst till personuppgifter i elektroniska journalsystem m.m. Medan bestämmelserna om journalföringen i allt väsentligt fördes över oförändrade från 1985-års patientjournallag utformades till stora delar helt nya bestämmelser om behandlingen av personuppgifter. Den kanske största nyheten som infördes var dock möjligheten för olika vårdgivare att utbyta patientuppgifter med varandra genom direktåtkomst, s.k. sammanhållen journalföring och det särskilda regelverket om nationella och regionala kvalitetsregister. Dessutom infördes ett antal grundläggande integritetsskyddsbestämmelser som tydliggör vad som gäller ifråga om inre sekretess, behörighetsstyrning och åtkomstkontroll. Tillsammans med nya möjligheter för vårdgivare tydliggjordes därmed vilka krav som generellt bör gälla vid behandling av sådan integritetskänslig information som det är fråga om inom hälso- och sjukvården.

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

124

7.1.1 Kort om våra utgångspunkter för denna typ av lagstiftning

I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverkets övergripande målsättning bör vara att bidra till ännu bättre resultat för patienter i hälso- och sjukvården. Det handlar om att informationshanteringen ska medverka till ökad kvalitet och patientsäkerhet och till bättre resultat samt till att invånarna får en mer jämlik hälso- och sjukvård.

Både för individens del och för verksamheten är det nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar om självklara krav som t.ex. att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt och att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken vid personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.

Generellt bedömer vi att den enskildes intresse av en god och säker vård och ett välfungerande integritetsskydd inte står i någon motsats till de intressen för kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom hälso- och sjukvården. Det skulle på många sätt vara en farlig utveckling om den enskilde kände en sådan otrygghet i hur uppgifter hanterades att han eller hon skulle välja att hålla inne med information som kunde vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi understryka att utredningen inte uppfattat några signaler om att det skulle finnas något tillitsproblem när det gäller hälso- och sjukvårdens informationshantering. Tvärtom har våra kontakter med både enskilda, patientorganisationer och verksam-

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

125

heterna själva stärkt bilden av att förtroendet för hälso- och sjukvården och det sätt information hanteras på är högt.

För att återkoppla till inledningen i detta avsnitt vill vi betona att vår utgångspunkt är att lagstiftningen inom detta område ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen motiveras, utan även hur enskilda paragrafer utformas och formuleras. Vid utredningens kontakter med företrädare för hälso- och sjukvården har det tydligt framkommit att yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och förstå den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi utformat våra förslag om förändrad lagstiftning.

Samtidigt är det viktigt att understryka att en registerlagstiftning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst personuppgiftslagen och dess definitioner och terminologi kommer att vara styrande för hur motsvarande begrepp används och formuleras i lagen. Det innebär att språket i vissa delar kan bli mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstiftning som i stor utsträckning ska tillämpas av de som primärt inte är skolade i personuppgiftslagstiftningen. Utredningen bedömer att det bland annat av det skälet är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.

7.1.2 Vårt uppdrag m.m.

I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Av direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredsställande sätt.

De snart sex år som förflutit sedan patientdatalagen trädde ikraft har bland annat kännetecknats av brister i implementeringen av lagstiftningen och en osäkerhet om lagens tillämpning i olika delar. Tillsynsmyndigheternas beslut har satt ljuset på brister i frågor om exempelvis fullgörandet av informationsplikter gentemot patienter, behörighetsstyrning och patientens spärrmöjligheter

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

126

m.m. Även regelverkets avsaknad av särskilda bestämmelser för vad som ska gälla för personer som saknar förmåga att själv ta ställning till frågor om informationsutbyten och behandling av personuppgifter, har varit i fokus de senaste åren. Från vårdgivare och hälso- och sjukvårdspersonal har framhållits att lagen i vissa delar är svårtillgänglig och det finns en osäkerhet och otrygghet i hur lagen närmare är tänkt att tillämpas. Det har bland annat framkommit att det finns en osäkerhet i frågor om när personal får ta del av uppgifter om patienter antingen för att de på något sätt är delaktiga i patientens vård eller för att de har ett behov av att följa upp och kvalitetssäkra genomförda insatser.

Vidare har den strukturomvandling som ägt rum i hälso- och sjukvården sedan patientdatalagens ikraftträdande medfört nya krav på informationshanteringen i hälso- och sjukvården. Det kan därmed även ur detta perspektiv finnas anledning att analysera om den nuvarande lagstiftningen är ändamålsenligt utformad för att möta den komplexa verksamhet som hälso- och sjukvården utgör och där den organisatoriska kartan är ständigt föränderlig.

Mot bakgrund av utredningens uppdrag lämnas i detta betänkande ett större antal förslag som i allt väsentligt syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som syftar till att minska tillämpningsproblemen, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. De många förslagen medförde att det blev nödvändigt för utredningen att analysera om våra samlade förslag till lagstiftningsförändringar kunde införlivas i patientdatalagen eller om det måste bedömas som nödvändigt med en helt ny lagstiftning för personuppgiftsbehandlingen på hälso- och sjukvårdens område.

7.2 Våra överväganden och förslag

7.2.1 En ny lag ersätter patientdatalagen

Vårt förslag: Patientdatalagen ska upphävas och ersättas av en

ny lag; hälso- och sjukvårdsdatalagen. Bestämmelser i patientdatalagen som inte påverkas av utredningens förslag ska överföras till den nya lagen.

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

127

Följdändringar måste göras i flera andra lagar med anledning av att patientdatalagen upphävs och ersätts av den nya lagen.

Utredningens förslag i sin helhet kommer att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen. Under arbetets gång har det blivit mer och mer uppenbart att våra förslag kommer att medföra så många förändringar att det skulle inverka på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig. Även om utredningen inte till en början haft för avsikt att föreslå en ny reglering för personuppgiftsbehandlingen i hälso- och sjukvården har det således i takt med arbetets framskridande kommit att bli allt tydligare att det behövs. Vi bedömer därför att patientdatalagen, framför allt på grund av konsekvenserna av utredningens samlade förslag, bör upphävas i stället för att omarbetas. Det är inte här möjligt att närmare redogöra för de förslag som utredningen lämnar och som bedöms medföra ett behov av en ny lagstiftning, utan vi får hänvisa till vad som redovisas längre fram i detta betänkande.

Lämpligheten i att föreslå en ny lag i ett skede när patientdatalagen fortfarande kan betraktas som förhållandevis ny kan naturligtvis ifrågasättas. Mot bakgrund av den kritik som patientdatalagen utsatts för genom åren gör utredningen dock bedömningen att en ny lagstiftning kan medföra positiva effekter på en ändamålsenlig och integritetsskyddande personuppgiftbehandling. Det kan dessutom konstateras att hälso- och sjukvården har varit föremål för sådana omfattande strukturella och organisatoriska förändringar sedan patientdatalagen trädde ikraft 1 juli 2008 att även denna omständighet utgör ett skäl för att se över lagstiftningens ändamålsenlighet. Det primära skälet är dock att de förslag utredningen lämnar svårligen kan sorteras in i patientdatalagen.

Vi föreslår därför en ny lag för vårdgivares behandling av personuppgifter i hälso- och sjukvården; hälso- och sjukvårdsdatalag. I sammanhanget kan nämnas att utredningen även föreslår en ny lag för personuppgiftsbehandlingen på socialtjänstens område; socialtjänstdatalag. Vi anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämp-

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

128

ningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och de som har att tillämpa lagstiftningen.

Utredningen lämnar också förslag för att underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Förutsättningarna att harmonisera regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten förbättras av att vi lämnar förslag till en ny lagstiftning för båda områdena samtidigt. Vi föreslår att bestämmelser om informationshantering vid vård av personer med sammansatta behov av hälso- och sjukvård och socialtjänst ska regleras i ett eget kapitel i den nya lagen.

Vidare innebär utredningens förslag att många bestämmelser bör överföras materiellt oförändrade från patientdatalagen till hälso- och sjukvårdsdatalagen. Samtidigt ger detta ett tillfälle att överväga och vid behov föreslå förenklad utformning och språkliga justeringar i paragraferna.

Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalagen. Vi anser att det namnet beskriver lagens tillämpningsområde på ett tydligt sätt samtidigt som det är jämförligt med namnet på den lag som reglerar personuppgiftshanteringen inom socialtjänsten; socialtjänstdatalagen.

7.2.2 Lagens innehåll, tillämpningsområde och förhållande till personuppgiftslagen

Vårt förslag: Hälso- och sjukvårdsdatalagen ska inledas med en

bestämmelse som översiktligt beskriver vilka områden som lagen reglerar och en innehållsförteckning. Lagens tillämpningsområde ska regleras i en egen bestämmelse. I lagen ska finnas en bestämmelse som reglerar förhållandet till personuppgiftslagen. Bestämmelserna om tillämpningsområdet och förhållandet till personuppgiftslagen överförs i princip oförändrade från patientdatalagen. I hälso- och sjukvårdsdatalagen ska dock uttryckligen anges att lagen i tillämpliga delar även gäller för en huvudmans behandling av personuppgifter i hälso- och sjukvården.

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

129

Lagens innehåll

Förslaget till hälso- och sjukvårdsdatalag omfattar bestämmelser om olika aspekter av personuppgiftsbehandling inom hälso- och sjukvården. Det innebär att det finns bestämmelser om personuppgiftsansvar, olika typer av direktåtkomst, åtkomstkontroll, journalföring, nationella kvalitetsregister och rättigheter för den enskilde m.m. I vårt förslag är lagen indelad i 13 kapitel. För att göra lagen mer överskådlig och lättare att använda bör den inledas med en översiktlig beskrivning av innehållet. Av den anledningen föreslår vi att det i lagens inledning tas in en innehållsförteckning.

Beskrivningen av lagens innehåll är av allmän karaktär och ska läsas som en enkel anvisning om vilka områden som lagen omfattar. Det kan vara informativt för t.ex. yrkesutövare att redan i inledningen få veta att det i denna lag finns bestämmelser om patientjournaler och nationella kvalitetsregister.

Lagens tillämpningsområde

Vidare föreslår utredningen att det juridiska tillämpningsområdet regleras i en egen bestämmelse efter de inledande bestämmelserna om innehållet. Hälso- och sjukvårdsdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården.

Utredningen avser inte att ändra tillämpningsområdet för den föreslagna lagen jämfört med patientdatalagen1förutom att vi föreslår att det uttryckligen ska anges att lagen i tillämpliga delar även ska gälla för en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Med huvudman i hälso- och sjukvårdsdatalagen avses den som enligt hälso- och sjukvårdslagenansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner. Kommuner och landsting omfattas i egenskap av huvudmän i dag av patientdatalagen genom lagens definition av begreppet vårdgivare. Av 1 kap. 3 § patientdatalagen följer bl.a. att landsting och kommun är vårdgivare i fråga om sådan hälso- och sjukvård som landstinget eller kommunen har ansvar för. Samtidigt avses med vårdgivare, enligt samma bestämmelse, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

130

Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän för hälso- och sjukvården och deras ansvar som vårdgivare när de faktiskt bedriver hälso- och sjukvård. Eftersom det inte finns några formella hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre bedriver hälso- och sjukvård. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården.

Det innebär exempelvis att lagens grundläggande ändamålsbestämmelser och bestämmelserna om vilka personuppgifter som får behandlas samt om sökbegrepp även gäller vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Vidare gäller bestämmelserna i lagens 4 kap. om inre sekretess, behörighetsstyrning och åtkomstkontroll i samma utsträckning också för en huvudman. Se vidare avsnitt 7.2.4 angående utredningens överväganden kring begreppet huvudman.

Vårt förslag innebär att bestämmelsen om det juridiska tillämpningsområdet renodlas jämfört med gällande bestämmelse i patientdatalagen. Den nuvarande 1 kap. 1 § patientdatalagen är i själva verket både en bestämmelse om tillämpningsområdet och en beskrivning av innehållet. Vårt förslag innebär att vi delar upp bestämmelsen så att den befintliga upplysningen om att lagen innehåller bestämmelser om journalföring i stället tas med i den inledande bestämmelsen som beskriver innehållet.

Förhållandet till personuppgiftslagen

Utredningen föreslår att den nuvarande bestämmelsen i patientdatalagen, om den lagens förhållande till personuppgiftslagen överförs oförändrad till hälso- och sjukvårdsdatalagen.

Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Det är dock möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för person-

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

131

uppgiftslagens bestämmelser. En grundläggande förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmelserna i dataskyddsdirektivet.

Utredningen föreslår att hälso- och sjukvårdsdatalagen ska innehålla vissa sådana avvikande särbestämmelser som det bedöms föreligga behov av när det gäller behandling av personuppgifter inom hälso- och sjukvården. Särregleringen i hälso- och sjukvårdsdatalagen föreslås enbart komplettera personuppgiftslagen. Hälso- och sjukvårdsdatalagen kommer då att gälla utöver personuppgiftslagen. Detta innebär att när reglering saknas i hälso- och sjukvårdsdatalagen är personuppgiftslagens bestämmelser tillämpliga. Motsvarande förhållande gäller mellan patientdatalagen och personuppgiftslagen.2

7.2.3 Lagens syfte

Vårt förslag: I hälso- och sjukvårdsdatalagen ska det finnas

bestämmelser som uttrycker lagens syfte. Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet. Lagen ska särskilt främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete och att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Den nu gällande syftesbestämmelsen i 1 kap. 2 § PDL är, enligt utredningens bedömning, inte utformad som en syftesbestämmelse i egentlig mening. Den anger snarare hur informationshanteringen ska vara organiserad och hur personuppgifter ska utformas och hanteras. Bestämmelsen talar också om hur dokumenterade uppgifter ska hanteras och förvaras. Den nuvarande paragrafen är därför mer av materiella bestämmelser än en portalparagraf om vad lagen ska åstadkomma. Särskilt bestämmelsen i sista stycket, om att personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem, är en viktig materiell bestämmelse som vi vill ta hand om på ett annat sätt än som en formulering i en syftesbestämmelse.

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

132

Utredningen anser att det tydligt ska framgå av syftesbestämmelsen att lagen ska leda till att vården blir säkrare och av högre kvalitet. En säker vård värnar patientens personliga integritet och skyddar patienten mot fysiska och psykiska vårdskador. Det ska framgå att lagen är en tillgänglighetsreform som ska se till att rätt uppgifter finns på rätt plats i rätt tid för rätt personer. Av syftesbestämmelsen ska det framgå att såväl rätt tillgång till rätt uppgifter som skydd för den personliga integriteten är grundläggande förutsättningar för att lagens intentioner ska kunna uppnås.

Enligt utredningens förslag ska lagen syfta till en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet i hälso- och sjukvården. Vårdgivarens behandling av personuppgifter inom hälso- och sjukvården ska således tillgodose samma krav som gäller för all hälso- och sjukvårdsverksamhet.3Utredningens förslag innebär endast en viss omformulering av det krav som i dag finns uttryckt i 1 kap. 2 § PDL.

Därutöver anser utredningen att syftesbestämmelsen ska betona att lagen särskilt ska främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete. Vi anser att det är en viktig signal att uttryckligen nämna detta syfte för att tydliggöra att lagens bestämmelser syftar till att möjliggöra en ändamålsenlig informationshantering. Det är inget nytt motiv för denna lagstiftning, men denna aspekt går ofta förlorad i den kritik mot lagen som kommer från de som är verksamma inom hälso- och sjukvården.4

Det brukar hävdas att patientdatalagen gjort det svårare att arbeta på ett ändamålsenligt sätt med informationshanteringen i hälso- och sjukvården. Patientdatalagen reglerar dock egentligen inga begränsningar i förhållande till vad som gällde innan lagen trädde ikraft. I stället har den erbjudit nya möjligheter till informationsutbyte. Trots det har lagen kommit att av många uppfattas som en hämsko i arbetet. Det finns förstås också viss kritik från det andra perspektivet; att lagen har öppnat för alltför stora möjligheter att utbyta patientuppgifter. Men den kritiken har inte varit lika omfattande. För att det ska bli en tydligare balans mellan patientsäkerhets- och integritetsperspektivet anser vi att tillgänglighetsaspekten bör bli mer uttryckligt beskriven i lagen.

3 Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 54 ff. 4Prop. 2007/08:126 s. 34.

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

133

Det redan i dag gällande kravet på att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras, ska naturligtvis också komma till uttryck i den nya lagen.

7.2.4 Viktiga definitioner

Vårt förslag: I hälso- och sjukvårdsdatalagen ska det införas

definitioner av begreppen huvudman, informationssystem, nationella och regionala kvalitetsregister, patientjournal samt vårddokumentation. Begreppet vårdgivare förtydligas och begreppet sammanhållen journalföring får en definition som stämmer överens med det tillämpningsområde som föreslås. Övriga begrepp som definieras i patientdatalagen förs över oförändrade till hälso- och sjukvårdsdatalagen.

I patientdatalagens inledande kapitel återfinns en rad definitioner av centrala uttryck som används i lagen. Utredningen bedömer att även hälso- och sjukvårdsdatalagen ska innehålla en paragraf som samlat definierar de viktiga begreppen. Förutom att vi föreslår att vissa begrepp som definieras i patientdatalagen förs över oförändrade eller med endast någon språklig justering, föreslår vi att det i hälso- och sjukvårdsdatalagen ska tas in en rad nya begrepp som definieras. Vilka dessa begrepp är och hur de bör definieras redovisas i det följande.

Huvudman

Det finns i dag inte någon entydig och mer precis legaldefinition av huvudmannabegreppet i hälso- och sjukvården. Vid införandet av hälso- och sjukvårdslagen (1982:763), förkortad HSL, konstaterades att den som har ett författningsreglerat ansvar för att vård meddelas är huvudman. Någon övrig vägledning för frågan om huvudmannaskapets innebörd, omfattning gavs inte och inte heller lämnades någon ytterligare definition av begreppet.5

Samtidigt finns det genom regleringen i hälso- och sjukvårdslagen åtminstone en indirekt definition av begreppet huvud-

5Prop. 1981/82:97 Om hälso- och sjukvårdslag m.m., s. 33.

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

134

man, dvs. den som har ett författningsreglerat ansvar för att vård meddelas. Med huvudman enligt hälso- och sjukvårdslagen får därmed avses den som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.

Mot den bakgrunden och med det som förebild föreslår utredningen att begreppet huvudman ska definieras i hälso- och sjukvårdsdatalagen. Utredningens förslag till definition utgår alltså från huvudmännens ansvar, som det är reglerat i nu gällande hälso- och sjukvårdslag. Med huvudman i hälso- och sjukvårdsdatalagen avses således den som enligt hälso- och sjukvårdslagen ansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner.

I hälso- och sjukvårdslagen regleras för närvarande endast huvudmannaskapet för landsting och kommuner. Den hälso- och sjukvård som enligt lag ska tillhandahållas av andra huvudmän än landsting och kommun är dock av mer begränsad karaktär och har även delvis andra syften än det huvudmannaansvar som följer av hälso- och sjukvårdslagen. Utredningen bedömer därför att det i hälso- och sjukvårdsdatalagen är tillräckligt att hänvisa till det huvudmannaansvar som landsting och kommuner har enligt hälso- och sjukvårdslagen.

Huvudmannen har det yttersta ansvaret för att säkerställa att vård erbjuds till i hälso- och sjukvårdslagen angiven personkrets. Vården kan utföras i egen regi, men huvudmannaansvaret innebär ingen skyldighet för huvudmannen att själv bedriva verksamheten, utan driften kan ligga på en fristående vårdgivare. Inom en huvudmans geografiska ansvarsområde kan därmed en eller flera vårdgivare bedriva verksamhet.

Såväl Utredningen om en kommunallag för framtide n6 som Patientmaktsutredningen7har föreslagit att huvudmannens ansvar bör uttryckas tydligare i lagstiftningen. Utredningen om en kommunallag för framtiden har föreslagit att det uttryckligen ska regleras i kommunallagen (1991:900) att kommunen respektive landstinget behåller sitt huvudmannaskap när vården av en kommunal angelägenhet överlämnats till en annan utförare och att huvudmannaskapet innefattar en skyldighet att följa upp och kontrollera privata utförare.

Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. Eftersom det inte finns några formella

6SOU 2013:53; Privata utförare – kontroll och insyn. 7SOU 2013:44; Ansvarfull hälso- och sjukvård.

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

135

hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre är att betrakta som vårdgivare. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården. Det är därför relevant att definiera begreppet i den lag som föreslås.

Längre fram i betänkandet föreslår utredningen även förbättrade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet inom en huvudmans ansvarsområde. Även för att kunna utforma de förslagen är begreppet huvudman nödvändigt att definiera.

Informationssystem

Utredningen föreslår att begreppet informationssystem definieras i lagen. Vårdgivaren är ansvarig för hur personuppgifter hanteras i verksamheten. Ett informationssystem är ett verktyg för hantering av personuppgifter. Det är ett system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information. Vi föreslår i betänkandet att vårdgivarens ansvar för att informationssystemen är ändamålsenliga ska uttryckas i hälso- och sjukvårdsdatalagen. Det medför att begreppet behöver definieras i lagen.

Sammanhållen journalföring

Utredningens förslag om möjlighet till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär att tillämpningsområdet för sammanhållen journalföring minskar och innebär också att den definition av begreppet som finns i patientdatalagen blir felaktig. Vi föreslår därför en ändrad definition. Med sammanhållen journalföring avses enligt utredningens förslag en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation.

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

136

Vårddokumentation

Patientjournaler och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall kallas i förarbetena till patientdatalagen för vårddokumentation.8 Ändamålen för vilka sådan dokumentation ska behövas motsvarar de första två punkterna i bestämmelsen om för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården.

Sådan dokumentation har en särställning i patientdatalagen eftersom vissa bestämmelser hänvisar till ändamålet vårddokumentation – även om själva begreppet inte används i bestämmelserna. I stället hänvisas i lagen till ändamålsbestämmelsens två första punkter (2 kap. 4 § 1 och 2 PDL). Det gäller t.ex. bestämmelsen om vad en patientjournal maximalt får innehålla (3 kap. 5 § PDL), bestämmelsen om vilka personuppgifter som en patient får spärra inom en vårdgivares verksamhet (4 kap. 4 § PDL), bestämmelsen om vilka uppgifter som en vårdgivare får ta del av genom sammanhållen journalföring (6 kap. 1 § PDL) och bestämmelsen om utlämnande genom direktåtkomst till enskilda (5 kap. 5 § PDL)

Utredningen anser att det kan vara en fördel att ett begrepp med en definition som stämmer överens med den som används i förarbeten till patientdatalagen finns med i en ny hälso- och sjukvårdsdatalag. Ett begrepp som definieras i lagens inledning kan sedan användas i bestämmelserna utan ytterligare förklaring. Definitionen knyter an till bestämmelsen om tillåtna ändamål för behandling av personuppgifter, som förs över från patientdatalagen. De bestämmelser i lagen som ska hänvisa till begreppet blir enklare att formulera och att läsa om begreppet kan användas utan hänvisning till ändamålsbestämmelsen.

Med vårddokumentation ska således avses dokumentation som innehåller personuppgifter som behandlas för

• att fullgöra de skyldigheter som anges i 3 kap. HSL och upprätta annan dokumentation som behövs i och för vården av patienter, och

• administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

137

Vårdgivare

Utredningen har valt att utgå ifrån den befintliga definitionen i patientdatalagen men föreslår en något ändrad formulering. Ändringen är påkallad av utredningens förslag att definiera begreppet huvudman.

Med vårdgivare avses enligt utredningens förslag ”statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen bedriver samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.”

Uttrycket har ansvar för som finns i den nu gällande definitionen i patientdatalagen kan tolkas på flera olika sätt, och är därför olämpligt i definitionen av vårdgivare. Vårdgivare har ansvar för den vård som denne bedriver. Landsting och kommun har som huvudman också visst ansvar, naturligtvis för de egna vårdgivarnas verksamhet, men även för sådan hälso- och sjukvårdsverksamhet som de som huvudmän överlåtit på annan. Huvudmannen ansvarar alltid primärt för att vårdbehoven tillgodoses inom dennes ansvarsområde. Ett visst kontrollansvar kvarstår av denna anledning hos huvudmannen. Huvudmannen har således också visst ansvar för vård som vårdgivaren bedriver. För att kunna skilja på det ansvar som de offentliga aktörerna har i sin egenskap av huvudmän respektive i sin egenskap av vårdgivare har utredningen därför anslutit sig till Patientmaktsutredningens9 förslag till definition. I denna tydliggörs att vårdgivare är den som bedriver viss hälso- och sjukvårdsverksamhet. Utredningens förslag till definition ska därmed läsas i ljuset av att utredningen även föreslår en definition av huvudmannabegreppet.

Begreppet hälso- och sjukvårdsverksamhet har använts i stället för

hälso- och sjukvård, för att undvika en konflikt med definitionen av

begreppet hälso- och sjukvård. I uttrycket ”bedriver hälso- och sjukvårdsverksamhet” ligger att åtgärderna är av regelbundet återkommande karaktär. En näringsidkare som inom ramen för en verksamhet som i sig inte utgör hälso- och sjukvård med viss regelbundenhet utför hälso- och sjukvårdande åtgärder kan anses vara vårdgivare beträffande dessa åtgärder.10

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

138

Definitionen omfattar samtliga vårdgivare, både vårdgivare underställda en offentlig huvudman, och vårdgivare med en privat huvudman (med eller utan offentlig finansiering).

För den hälso- och sjukvård som ett landsting eller en kommun själv bedriver är således den juridiska personen landstinget eller kommunen vårdgivare. Sådana bolag, föreningar och stiftelser där kommuner och landsting utövar ett rättsligt bestämmande inflytande, t.ex. äger mer än 50 procent, är egna juridiska personer och utgör därför självständiga vårdgivare om de bedriver hälso- och sjukvård. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset och Danderyds sjukhus.

Juridiska personer, t.ex. bolag eller stiftelser, som bedriver hälso- och sjukvård med privat eller offentlig finansiering är också självständiga vårdgivare. Som exempel kan nämnas bolag som Capio, Aleris, Praktiktertjänst och ett mycket stort antal andra privata vårdgivare.

En fysisk person som bedriver hälso- och sjukvårdsverksamhet i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande är också en självständig vårdgivare. Som exempel kan nämnas tandläkare med egen mottagning eller en fysisk person som etablerat en mottagning med stöd av lagen om läkarvårdsersättning (1993:1651), den s.k. nationella taxan.

Statliga myndigheter som Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets pliktverk är självständiga vårdgivare om de bedriver hälso- och sjukvårdsverksamhet.

Mot bakgrund av ovanstående kan konstateras att enskilda läkare som exempelvis är anställda på ett sjukhus eller en vårdcentral inte är att betrakta som vårdgivare i hälso- och sjukvårdsdatalagens mening. En vårdgivare är alltid en organisation och ska därmed inte förväxlas med den person som kanske rent faktiskt utför åtgärderna.

Nationella och regionala kvalitetsregister

Eftersom regelverket för personuppgiftsbehandling i nationella och regionala kvalitetsregister förs över från patientdatalagen till den nya lagen bör begreppet nationella kvalitetsregister finnas med i listan över definitioner.

Med kvalitetsregister avses en automatiserad och strukturerad samling personuppgifter som inrättats särskilt för ändamålet att

SOU 2014:23 En ny lag: hälso- och sjukvårdsdatalag

139

systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå.

Definitioner som överförs oförändrade

Utredningens bedömning är att samtliga begrepp som definieras i patientdatalagen även ska definieras i hälso- och sjukvårdsdatalagen. Det innebär att det, utöver vad som redovisats ovan, finns ett antal begreppsdefinitioner som ska föras över oförändrade till den nya lagen. Dessa begrepp är journalhandling och patientjournal.

Med patientjournal ska således avses en eller flera journalhandlingar som rör samma patient.

Med journalhandling ska avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.

7.2.5 Övriga bestämmelser som förs över från patientdatalagen

Vårt förslag: Bestämmelserna om rättigheter för den enskilde i

8 kap. patientdatalagen ska föras över till hälso- och sjukvårdsdatalagen med någon mindre justering. Bestämmelser om bevarande av journalhandlingar och om omhändertagande och återlämnande av journalhandlingar i 3, 6 och 9 kap. ska föras över från patientdatalagen. Bestämmelserna om skadestånd och överklagande i 10 kap. patientdatalagen ska också föras över.

I 8 kap. patientdatalagen finns bestämmelser om patientens rättigheter som inte berörs av utredningens förslag i övrigt och som enligt vår mening ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen om rätten till journalförstöring ändras på så sätt att den även ska tillämpas med avseende på uppgifter i en gemensam vård- och omsorgsjournal, se avsnitt 32.3.10.

En ny lag: hälso- och sjukvårdsdatalag SOU 2014:23

140

I vårt förslag till hälso- och sjukvårdsdatalag vill vi samla bestämmelserna om överlämnande, omhändertagande och bevarande av journalarkiv i ett eget kapitel. Motsvarande bestämmelser i 3,6 och 9 kap. PDL ska därför föras över till detta kapitel i den nya lagen. När det gäller bestämmelsen om bevarande om gallring i 6 kap. PDL ska den överföras och utvidgas till att gälla för bevarande och gallring av handlingar som är tillgängliga vid alla former av direktåtkomst som regleras i den nya lagen. När det gäller ansvaret för omhändertagna journaler som i dag regleras i 9 kap. 3 § PDL har ett nytt stycke införts om patientjournaler i verksamheter som bedrivits med en kommun som huvudman eller i elevhälsan, se avsnitt 13.4.6. I övrigt ska paragrafen överföras med oförändrad innebörd.

Bestämmelserna om skadestånd och överklagande berörs inte heller av våra förslag och ska därför föras över oförändrade till den nya lagen.

141

8 Grundläggande bestämmelser om behandling av personuppgifter

8.1 Bakgrund

Utredningens utgångspunkt är, som anförts i det föregående, att en lagstiftning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i hälso- och sjukvården. Både för patienter och för personal och ledning inom hälso- och sjukvården behöver de grundläggande förutsättningarna för informationshantering och personuppgiftsbehandling vara tydliga. Det innebär bland annat att hälso- och sjukvårdsdatalagen ska kunna ge svar på vilka personuppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som hälso- och sjukvården är det dock inte möjligt att i detalj förutse och reglera varje form av personuppgiftsbehandling. Däremot finns goda förutsättningar att utforma hälso- och sjukvårdsdatalagen på ett motsvarande sätt som patientdatalagen (2008:355), förkortad PDL, d.v.s. som en ramlagstiftning där den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården anges.

I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom hälso- och sjukvårdsdatalagens tillämpningsområde. Till övervägande del handlar det om att överföra befintliga bestämmelser från patientdatalagen.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

142

8.2 Våra överväganden och förslag

8.2.1 Vissa grundläggande bestämmelser förs över oförändrade från patientdatalagen

Vårt förslag: Vissa av de grundläggande bestämmelserna om

behandling av personuppgifter som finns i 2 kap. patientdatalagen ska föras över i sak oförändrade till hälso- och sjukvårdsdatalagen. Det rör bestämmelser om kapitlets tillämpningsområde, den enskildes inställning till personuppgiftsbehandlingen och vilka personuppgifter som får behandlas.

Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. hälso- och sjukvårdsdatalagen. Kapitlet föreslås innehålla bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka personuppgifter som får behandlas, vilken betydelse patientens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i verksamheten.

Till övervägande del handlar det om att överföra motsvarande bestämmelser i patientdatalagen oförändrade till den nya lagen. De bestämmelser utredningen föreslår ska föras över oförändrade i sak anges i det följande. Det innebär även att bestämmelserna avses ha samma innebörd som framgår av vad regeringen anförde i förarbetena till patientdatalagen.1

I bestämmelserna kan dock följdändringar med anledning av utredningens förslag i andra delar aktualiseras.

Kapitlets tillämpningsområde

Utredningen föreslår att bestämmelserna i det aktuella kapitlet, precis som idag, ska gälla för sådan automatiserad behandling av personuppgifter som avses i personuppgiftslagen (1998:204), förkortad PUL. Bestämmelsen i 2 kap. 1 § PDL ska föras över oförändrad till hälso- och sjukvårdsdatalagen.

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

143

Den enskildes inställning till personuppgiftsbehandlingen

Utredningen föreslår att bestämmelserna om den enskildes inställning till personuppgiftsbehandlingen i 2 kap. 2 och 3 §§ PDL ska föras över oförändrade till hälso- och sjukvårdsdatalagen.

Det innebär bl.a. att behandling av personuppgifter som är tillåten enligt lagen, får utföras även om den enskilde motsätter sig den. Detta gäller om inte annat framgår av lag eller förordning. I hälso- och sjukvårdsdatalagen hänvisas till några sådana situationer där personuppgiftsbehandling inte får utföras om den enskilde motsätter sig den, exempelvis att lämna ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring.

Vidare innebär utredningens förslag, som idag, att sådan personuppgiftsbehandling som inte är tillåten enligt hälso- och sjukvårdsdatalagen ändå för utföras om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i hälso- och sjukvårdsdatalagen eller annan lag eller förordning. I hälso- och sjukvårdsdatalagen regleras ett sådant undantag, nämligen personuppgiftsbehandling vid sammanhållen journalföring.

Därutöver innebär utredningens förslag att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt hälso- och sjukvårdsdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Regeringen har således en generell befogenhet att närmare föreskriva ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandlingen.

Personuppgifter som får behandlas

Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Utredningen föreslår därför att bestämmelserna om vilka personuppgifter som får behandlas i 2 kap. 8 § PDL förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att en vårdgivare får behandla endast sådana personuppgifter som behövs för de i lagen uppräknade tillåtna ändamålen för personuppgiftsbehandling i hälso- och sjukvården. Vidare klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § PUL endast får behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en privat vård-

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

144

givare får under dessa förutsättningar behandla personuppgifter om lagöverträdelser.

I sammanhanget ska förtydligas att personuppgiftslagens grundläggande krav på att personuppgifter ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella gäller även vid behandling av personuppgifter enligt hälso- och sjukvårdsdatalagen. Vårdgivare behöver därför bland annat göra en bedömning av vilka personuppgifter som behövs för olika ändamål.

8.2.2 Personuppgiftsansvar

Vårt förslag: Den nuvarande paragrafen om personuppgiftsansvar i

2 kap. 6 § PDL ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen ska kompletteras i fråga om personuppgiftsansvarets placering hos en huvudman. I lagen ska därmed anges att det hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.

Ur ett integritetsskyddsperspektiv är det lämpligt att i en registerlagstiftning precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Genom patientdatareformen har det tydliggjorts att en vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som vårdgivaren utför. Vidare har personuppgiftsansvaret i den offentliga hälso- och sjukvården preciserats ytterligare genom att det i lagen anges att i ”landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför”. Vidare anges i den nuvarande paragrafen att vårdgivarens personuppgiftsansvar även omfattar sådan behandling av personuppgifter som vårdgivaren, eller myndigheten, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

145

personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.

Utredningen föreslår att den nuvarande bestämmelsen förs över oförändrad till hälso- och sjukvårdsdatalagen. Därutöver föreslår vi att bestämmelserna kompletteras med ett förtydligande vad gäller personuppgiftsansvarets placering hos en sjukvårdshuvudman. Vi bedömer att denna komplettering är nödvändig med hänsyn till vårt förslag om att hälso- och sjukvårdsdatalagen i tillämpliga delar även ska gälla för en huvudman. Dessutom kan konstateras att det i den nuvarande bestämmelsen endast pekas ut att de myndigheter i landsting och kommuner som bedriver hälso- och sjukvård är personuppgiftsansvarig för sin behandling av personuppgifter. Det kan därmed ifrågasättas om den nuvarande lydelsen formellt omfattar en kommunal eller landstingskommunal myndighet som inte bedriver någon egentlig hälso- och sjukvård, men samtidigt har ett huvudmannaansvar för verksamheten och i den egenskapen har ett behov av att behandla personuppgifter.

I syfte att tydliggöra personuppgiftsansvarets placering hos sjukvårdshuvudmännen föreslår vi således att det i bestämmelsen ska anges att hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen, personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.

8.2.3 Sökbegrepp

Vårt förslag: Den nuvarande paragrafen om sökbegrepp i

patientdatalagen ska omarbetas språkligt. Paragrafen ska i sak föras över oförändrad, dock med undantaget att det inte längre ska vara otillåtet att som sökbegrepp använda uppgift om någon har fått bistånd eller varit föremål för andra insatser inom socialtjänsten.

Vår bedömning: De krav på samverkan som finns mellan hälso-

och sjukvården och socialtjänsten, samt utredningens förslag om förbättrade möjligheter för sådan samverkan innebär att vårdgivare kan ha ett behov av att använda uppgift om att någon har eller har fått bistånd inom socialtjänsten som sökbegrepp.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

146

Inledning

Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Utredningen föreslår att bestämmelserna om sökbegrepp i 2 kap. 8 § PDL förs över i princip oförändrade till hälso- och sjukvårdsdatalagen, men att en språklig omarbetning görs. Den nuvarande bestämmelsen börjar med att, genom en hänvisning till bestämmelser i personuppgiftslagen, tala om vad som är otillåtet för att sedan ange undantag till detta. Utredningens bedömning är att bestämmelsen blir tydligare om hänvisningen till personuppgiftslagen till viss del tas bort och istället ersätts med konkreta formuleringar om vilka sökbegrepp som är otillåtna. Istället för att ange att personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp och sedan föreskriva att undantag från det förbudet vad gäller att använda uppgifter om hälsa som sökbegrepp, bedömer utredningen således att paragrafen uttryckligen ska ange att som sökbegrepp får inte användas uppgifter som avslöjar: ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Inte heller ska uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) få användas som sökbegrepp.

Det innebär exempelvis att det, precis som idag, ska vara tillåtet att använda uppgifter om hälsa som sökbegrepp.

Uppgifter om lagöverträdelser m.m. som avses i 21 § PUL ska inte heller få användas som sökbegrepp. Detta följer redan av den nuvarande bestämmelsen. Vidare ska även fortsättningsvis ett undantag från det förbudet göras vad gäller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Utredningen förslag innebär även att regeringen som idag kan meddela föreskrifter om att vårdgivare, trots sökbegränsningarna, får använda personuppgifter om etnicitet, uppgifter om betydelse för smittskyddet samt uppgifter om insatser enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

147

Uppgift om bistånd och insatser inom socialtjänsten

I den nuvarande bestämmelsen om sökbegrepp i 2 kap. 8 § PDL anges att som sökbegrepp inte får användas uppgift om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten. I samband med patientdatalagens tillkomst fördes detta förbud över till den lagen från den då gällande vårdregisterlagen. I förarbetena till vårdregisterlagen motiverades sökbegränsningarna i fråga om insatser inom socialtjänsten emellertid endast med att det överensstämde med den vid den tidpunkten gällande datalagen.2 I datalagen angavs visserligen inga sökbegränsningar rörande uppgifter om insatser enligt socialtjänsten, men i dess 4 § räknades emellertid uppgift om att någon fått ”ekonomisk hjälp eller vård inom socialtjänsten” upp som en särskilt känslig uppgift.

Enligt utredningens bedömning finns det mot bakgrund av den nära samverkan som behöver ske mellan hälso- och sjukvården och socialtjänsten skäl att ifrågasätta den nu gällande sökbegränsningen. Kommuner och landsting har under årens lopp ålagts fler och fler skyldigheter att samverka rörande individer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Som exempel kan nämnas det krav på samordnad vårdplanering som finns rörande enskilda som vid utskrivning från slutenvården har behov av insatser från den kommunala hälso- och sjukvården och socialtjänsten. Vidare ska landstinget enligt 8 a och b §§ HSL ingå en överenskommelse med kommunen om ett samarbete i fråga om personer med psykisk funktionsnedsättning och om personer som missbrukar alkohol, narkotika, andra beroendeframkallande medel, läkemedel eller dopningsmedel. När den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten ska landstinget, enligt 3 f § HSL, tillsammans med kommunen upprätta en individuell plan. Av planen ska framgå vilka insatser som behövs, vilka insatser respektive huvudman ska svara för, vilka åtgärder som vidtas av någon annan än landstinget eller kommunen, och vem av huvudmännen som ska ha det övergripande ansvaret för planen.

Därutöver har landstinget ansvaret för de läkarresurser som behövs för att enskilda ska kunna erbjudas god hälso- och sjukvård i särskilt boende och i hemsjukvården.

Sammantaget kan konstateras att de krav på nära samverkan som föreligger mellan landsting och kommuner i fråga om hälso- och sjukvård och socialtjänst medför att det i hälso- och sjukvården

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

148

behöver dokumenteras en rad uppgifter om de insatser som enskilda får tillgodosedda av socialtjänsten. All vårdplanering som görs i fråga om patienter som skrivs ut från slutenvården och som har behov av insatser från socialtjänsten ska exempelvis dokumenteras i patientjournalen.3 Även för att leva upp till själva grundkravet i 3 kap. 6 § PDL på att patientjournalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten kan vårdgivare behöva dokumentera uppgifter som har anknytning till socialtjänstens verksamhet. Det kan exempelvis handla om att den enskilde får bistånd i form av särskilt boende eller att den enskilde är beviljad hemtjänst och hemsjukvård.

Utredningens bedömning är att de krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten samt utredningens förslag om förbättrade möjligheter för sådan samverkan medför att vårdgivare kan behöva använda uppgifter om att någon har insatser inom socialtjänsten som sökbegrepp. Det kan exempelvis behövas för att få fram en uppgift om hur många invånare som omfattas av landstinget ansvar för läkarresurser i särskilt boende eller i hemsjukvården. Det kan även behövas för att kunna göra sammanställningar kring arbetet med de olika individuella vårdplanerna som ska tas fram i samverkan med kommunen. Utredningens förslag om möjligheter för hälso- och sjukvården och socialtjänsten att – under vissa förutsättningar – ha direktåtkomst till varandras personuppgifter medför även att det för vårdgivares del måste vara möjligt att göra sökningar för att administrera eller göra sammanställningar kring informationsutbytet genom direktåtkomst.

Vidare anser utredningen att det redan idag, genom att det är tillåtet att söka på uppgift om hälsa, kan hävdas att sökning på uppgifter om insatser inom socialtjänsten är tillåtet så länge det handlar om en uppgift som rör hälsa. Eftersom begreppet hälsa ska ges en vidsträckt tolkning enligt personuppgiftslagen kan då konstateras att mycket av det som görs inom socialtjänsten torde kunna falla inom ramen för vad som är att betrakta som en uppgift om hälsa. Det blir då osäkert vilket reellt tillämpningsområde den nu gällande sökbegränsningen ska anses ha. Samtidigt bedömde patientdatautredningen att en uppgift om att en äldre eller en funktionshindrad får insatser inom socialtjänsten i form av särskilt boende inte får användas som sökbegrepp, vare sig för att söka

3 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

149

fram en enskild uppgift eller för att kunna göra sammanställningar rörande fler patienter.

Sammanfattningsvis bedömer utredningen att det bör finnas ett tydligt stöd för vårdgivare att, vid behov, söka på uppgift om att någon har insatser inom socialtjänsten. Vi har ovan redogjort för den nära samverkan som ska ske mellan hälso- och sjukvården och socialtjänsten samt lämnat några exempel på när landstinget kan behöva söka på uppgifter relaterade till socialtjänstens verksamhet. Därutöver finns det, enligt vår bedömning, naturligtvis ett grundläggande och berättigat behov för vårdgivare inom den kommunala hälso- och sjukvården att kunna söka på uppgifter om insatser i socialtjänsten. Inte minst med tanke på att den kommunala hälso- och sjukvården bedrivs i det närmaste integrerat med socialtjänstens verksamhet ter sig en sökbegränsning omotiverad. En kommunal vårdgivare kan exempelvis behöva söka på socialtjänstrelaterade uppgifter för att kunna planera sin verksamhet i hemsjukvården och för att kunna samverka med de utförare av socialtjänst som den enskilde har.

Sammantaget anser vi att det finns övervägande skäl som talar för att den nuvarande sökbegränsningen bör tas bort. Vi bedömer att detta kan göras på ett sätt som inte medför otillbörliga intrång i de enskildas personliga integritet. Det handlar uteslutande om verksamheter som har dokumenterat uppgifter relaterade till socialtjänstens verksamhet för att uppgifterna bedöms vara viktiga för patientens vård och behandling samt för möjligheterna att planera och i övrigt bedriva en verksamhet av hög kvalitet. I praktiken har även många personer, inte minst bland de äldre, så sammansatta behov av vård och omsorg att det gör att det i praktiken inte alltid är enkelt att avgöra vad som är att hänföra till hälso- och sjukvård och vad som är att hänföra till socialtjänst.

Samtidigt vill vi erinra om att uppgifter relaterade till socialtjänsten, precis som uppgifter relaterade till hälso- och sjukvården, är av ömtålig art ur integritetssynpunkt. Vårdgivare behöver därför alltid vid personuppgiftsbehandling göra en bedömning av vilka uppgifter som är nödvändiga att behandla med hänsyn till ändamålet. De grundläggande kraven enligt personuppgiftslagen gäller naturligtvis även vid personuppgiftsbehandling som innebär användning av olika sökbegrepp. Det innebär att den personuppgiftsbehandling som utförs i samband med sökning och framtagning av sammanställningar alltid måste bottna i ett berättigat behov och att endast de personuppgifter som behövs med hänsyn till detta behov behandlas.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

150

8.2.4 Tillåtna ändamål för behandling av personuppgifter m.m.

Vårt förslag: De nuvarande bestämmelserna i 2 kap. 4 och 5 §§

PDL om tillåtna ändamål för personuppgiftsbehandling ska överföras till hälso- och sjukvårdsdatalagen. I ändamålskatalogen ska vidare anges att personuppgifter får behandlas för att förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Inledning

Det är av integritetsskäl viktigt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. En vårdgivare eller en huvudman får därför endast behandla sådana uppgifter som behövs för de ändamål som i lagen räknas upp som tillåtna. En ändamålsbestämmelse styr därmed över vilka personuppgifter som får samlas in och fortsättningsvis behandlas i verksamheten.

Att i lagen närmare specificera vilka personuppgifter som får behandlas i verksamheten skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av it inom hälso- och sjukvården. Även om det av personuppgiftslagen följer ett krav på att ändamålen ska vara särskilda, behöver ändamålsbestämmelsen utformas tämligen generellt när det, som i detta fall, gäller en registerlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en sådan komplex verksamhet som hälso- och sjukvården. En alltför detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar på området är inte möjlig att göra och skulle även, som anförs ovan, riskera att hämma utvecklingen av hälso- och sjukvårdens informationshantering.

Genom patientdatalagen infördes en i princip uttömmande ändamålskatalog för personuppgiftsbehandlingen i hälso- och sjukvården. Regleringen är fakultativ i den bemärkelsen att den anger vad vårdgivaren får göra. Det är således en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. Inom denna ram behöver vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av personuppgiftsbehandlingen. Det följer av 9 § första stycket c PUL om att ändamålen ska vara särskilda.

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

151

Utredningen föreslår således att den nuvarande ändamålsuppräkningen i 2 kap. 4 och 5 §§ PDL förs över till hälso- och sjukvårdsdatalagen. Med utgångspunkt från förarbetena till patientdatalagen utvecklas innebörden av de tillåtna ändamålen nedan.4I det följande redogör utredningen även för förslaget om att tillföra två ytterligare ändamål till hälso- och sjukvårdsdatalagen.

Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (vårddokumentation)

Det tillåtna ändamålet är knutet till den behandling av personuppgifter som behövs för att fullgöra skyldigheten att föra patientjournal men också för att upprätta annan dokumentation som kan behövas i och för vården av en patient. Den individinriktade patientverksamheten kräver en omfattande hantering av personuppgifter för att fungera ändamålsenligt så att en hög patientsäkerhet, god kvalitet och effektivitet i verksamheten kan upprätthållas. Det är därför en självklarhet att lagens ändamålsbestämning måste omfatta detta behov.

Grunden för informationshanteringen är många gånger ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal. Men att hänvisa till denna dokumentationsskyldighet är långt ifrån tillräckligt för att täcka in behoven av personuppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen. En hel del personuppgifter kan behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter, på sätt som kan leda till tveksamheter om de utgör journalhandlingar eller inte. Även sådan dokumentation som faller vid sidan av skyldigheten att föra journal kan omfattas av ett ändamål som rör den individinriktade patientverksamheten.

Med patient avses den enskilde i hans kontakt med hälso- och sjukvården. Denna innebörd är hämtad från förarbeten till patientjournallagen (1985:562).5 Det innebär t.ex. att en blodgivare är patient.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

152

Den individinriktade verksamheten kan avse såväl sjukdomsförebyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlingssyfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i samband med hälsoundersökning av personer som söker körkortstillstånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av lagens tillämpningsområde.

All patientrelaterad administration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden omfattas av ändamålet administration som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.

Man kan sammanfattningsvis säga att personuppgiftsbehandlingen i den individinriktade verksamheten utförs för det samlade ändamålet vårddokumentation.

Utförande av annan dokumentation som följer av lag, förordning eller annan författning

Det finns en rad olika författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Det kan dock vara nödvändigt med en särskild personuppgiftsbehandling när dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras, t.ex. när det gäller uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Det behövs därför ett särskilt ändamål som uttryckligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten.

Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (kvalitetssäkring)

I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns även i 16 § tandvårdslagen (1985:125). Genom dessa bestämmelser finns det alltså ett författningsreglerat krav på

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

153

vårdgivare inom hälso- och sjukvården och tandvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling.

Genom användning av modern informationsteknik förbättras möjligheterna att bedriva kvalitetssäkringsarbete avsevärt. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring. Men det förekommer också personuppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär en ”återanvändning” av vårddokumentation utan handlar om personuppgifter som på olika sätt hämtas in och analyseras för det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen. Det är dock inte något problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling görs. Ett särskilt ändamål som tillåter denna behandling uttrycks därför som ett ändamål i lagen.

Inom ramen för vårdgivarens systematiska kvalitetsarbete kan patientuppgifter användas på många olika sätt. Det kan handla såväl om att enskilda yrkesutövare kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process. Genom att vårdgivaren formulerar närmare riktlinjer för hur kvalitetsarbetet ska gå till kan en tydlig systematik uppnås. I den delredovisning som utredningen överlämnade till regeringen den 31 december 2013 behandlas möjligheterna att behandla uppgifter för ändamålet kvalitetssäkring ytterligare, se bilaga 4.

Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten

Den individinriktade kärnverksamheten föranleder administration

och planering på ett mer övergripande plan än vid dokumentation

för individinriktad hälso- och sjukvård. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

154

privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet.

I personuppgiftsbehandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person. Likväl är det fråga om personuppgiftsbehandling.

Ett ytterligare område som alltmer kommit i fokus är kravet på att hälso- och sjukvården ska förbättra verksamhetsuppföljningen. Med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verksamhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna.

Ett annat område som innefattar personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården är det knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter.

Framställning av statistik rörande hälso- och sjukvård

I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppföljning. Men landstingen framställer också statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik anges därför som ett särskilt ändamål i lagen.

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

155

Att förebygga, utreda eller behandla sjukdomar och skador hos patienter

Under utredningens arbete har framkommit att det finns en osäkerhet kring tillämpningen av den nu gällande ändamålsbestämmelsen. Det har framför allt handlat om vilken ändamålsbestämmelse som anger att det är tillåtet för den som arbetar hos en vårdgivare att ta del av uppgifter om en patient för att exempelvis fatta beslut om patientens vård och behandling.

Eftersom begreppet behandling av personuppgifter även omfattar att ta del av och använda personuppgifter som redan är dokumenterade behöver således ändamålsbestämmelsen omfatta en senare användning av redan dokumenterade uppgifter. I sammanhanget kan emellertid noteras att personuppgiftsbehandlingen för ändamålet vårddokumentation är formulerat på ett sådant sätt att det är avgränsat till sådan personuppgiftsbehandlingen som handlar om att fullgöra journalföringsplikten, upprätta annan dokumentation som behövs, eller för sådan administration som har med patientens vård att göra. Många gånger behöver hälso- och sjukvårdspersonal emellertid behandla personuppgifter om en patient utan att det för den skull handlar om att fullgöra journalföringsplikten eller att upprätta annan dokumentation. Det kan exempelvis handla om att använda redan dokumenterade uppgifter för att fatta ytterligare beslut om patientens vård eller för att förbereda sig inför en undersökning av patienten etc.

Visserligen anförde regeringen i förarbetena att det med ändamålet vårddokumentation inte endast avses själva insamlingen och registreringen av uppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen.6 Samtidigt har utredningen förståelse för att hälso- och sjukvårdspersonal som tar del av den nuvarande ändamålsbestämmelsen känner tveksamhet inför vad som gäller. Bestämmelsen uttrycker över huvud taget ingenting om senare användning av redan dokumenterade uppgifter.

Sammantaget bedömer utredningen att det finns skäl att i ändamålsbestämmelsen tydliggöra att personuppgiftsbehandling är tillåten även om det inte handlar om att fullgöra journalföringsplikt eller liknande, utan om att använda uppgifter i och för vården av en patient. Inte minst mot bakgrund av den osäkerhet och otrygghet kring patientdatalagens tillämpning som finns bland hälso- och

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

156

sjukvårdspersonal kan ett sådant tydliggörande ha stor betydelse. Mot denna bakgrund föreslår vi att det i hälso- och sjukvårdsdatalagen ska anges att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningens förslag innebär ingen förändring eller utvidgning jämfört med vad som anses gälla redan idag, utan ska i allt väsentligt betraktas som ett förtydligande.

Uppgiftsutlämnande och finalitetsprincipen

Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Om utlämnandet görs för syften som gäller den för utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av något av de tillåtna ändamålen. Inte sällan görs utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.

För den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs också att sekretessen inte hindrar ett utlämnande.

Beträffande den allmänna hälso- och sjukvården följer vidare av 6 kap. 5 § OSL att en myndighet på begäran av annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223).

Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan att sekretessen hindrar det. I 10 kap. OSL

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

157

finns exempelvis bestämmelser som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall.

Gemensamt för allt detta uppgiftslämnande är att det görs med stöd av författningar som påbjuder eller tillåter utlämnande. När sådana bestämmelser har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i hälso- och sjukvårdsdatalagen förhindra att personuppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper.

Ändamålsbestämmelsen, som förs över från patientdatalagen, medger alltså att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning.

Vidare föreslår utredningen personuppgiftslagens finalitetsprincip, som idag, ska gälla även vid personuppgiftsbehandling enligt hälso- och sjukvårdsdatalagen. Finalitetsprincipen innebär att personuppgifter som har samlats in i syfte att behandlas för särskilda, uttryckligt angivna ändamål (jfr 9 § första stycket c PUL) får behandlas även för andra, nya ändamål, om dessa inte är oförenliga med de ursprungliga ändamålen (9 § första stycket d samma lag). Principen hindrar inte att insamlade personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen (9 § andra stycket PUL). Eftersom ändamålsbestämmelserna i lagen är uttömmande ska hälso- och sjukvårdsdatalagen uttrycklig hänvisa till dessa bestämmelser i personuppgiftslagen.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

158

8.2.5 Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården

Vårt förslag: Av hälso- och sjukvårdsdatalagens ändamåls-

bestämmelse ska följa att det är tillåtet att behandla personuppgifter för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i sådan forskning, om den aktuella studien är godkänd av regional eller central etikprövningsnämnd. Som en ytterligare förutsättning krävs att vårdgivaren har tagit fram och implementerat riktlinjer för hur personuppgiftsbehandlingen för dessa ändamål ska utföras.

Vår bedömning: Förslaget innebär ett krav på vårdgivare att ta

fram närmare riktlinjer som beskriver hur den här aktuella personuppgiftsbehandlingen ska gå till. Att antalsberäkna och identifiera personer för forskningsstudier bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet. Vidare bedömer utredningen att det av det särskilda regelverket om nationella och regionala kvalitetsregister med tillräcklig tydlighet redan följer att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården är tillåtet.

Inledning

För att en klinisk prövning i hälso- och sjukvården ska kunna bedrivas krävs att det finns ett antal deltagare (patienter) som, efter att ha fått information om studien och erbjudande om deltagande, väljer att medverka i prövningen. Även för annan forskning inom hälso- och sjukvården, exempelvis registerstudier, är det naturligtvis nödvändigt att kunna inkludera personuppgifter om patienter för att kunna bedriva studien. Eftersom samtycke till sådan forskning inte alltid inhämtas, ser dock själva rekryteringen till viss del annorlunda ut.

För att kunna rekrytera personer till kliniska prövningar används en rad olika arbetssätt, som exempelvis annonsering i tidningar och på internet eller genom direkta kontakter mellan hälso- och sjukvårdspersonal och patienter. Generellt kan inte alla

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

159

personer som vill erbjudas deltagande i en klinisk prövning utan ofta är prövningen inriktad på vissa specifika förhållanden, vilket gör att deltagarna behöver motsvara de villkor som har ställts upp för studien. Det kan handla om att deltagarna ska ha en viss sjukdom, ta vissa läkemedel, ha varit föremål för en viss hälso- och sjukvårdsåtgärd eller kunna uppvisa andra karaktäristika som har betydelse för prövningen.

Innan en rekrytering till en klinisk prövning startar kan det även finnas behov av att bilda sig en uppfattning om hur stort det potentiella underlaget av deltagare är, bland annat för att avgöra om en tänkt prövning kan tänkas gå att genomföra eller inte. Det har under utredningens arbete framkommit att det i hälso- och sjukvården finns behov av att behandla personuppgifter just i syfte att beräkna det potentiella underlaget och i vissa fall sedan kunna identifiera vilka personer som kan erbjudas medverkan i kliniska prövningar. Detta moment benämns ofta pre-screening.

Motsvarande behov finns även för annan forskning inom hälso- och sjukvården, t.ex. registerstudier. Eftersom sådan forskning sällan utförs genom en öppen rekrytering av forskningspersoner, är en grundläggande förutsättning att det finns ett register som innehåller de för forskningen relevanta uppgifterna eller att sådana uppgifter går att söka fram i ett bredare register eller databas. Även för registerstudier finns därmed ett behov av att kunna antalsberäkna det potentiella underlaget för studien.

Kort om kliniska prövningar

En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.

När det gäller kliniska läkemedelsprövningar bedrivs de oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

160

och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktiskt innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, t.ex. på ett sjukhus, och under ledning och uppsikt av vårdgivarens hälso- och sjukvårdspersonal. Det är således vårdgivaren i egenskap av prövare som har kontakten med deltagarna (patienterna) och utför själva prövningen. Närmare förutsättningar om hur kliniska läkemedelsprövningar får genomföras m.m. finns bland annat i läkemedelslagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.

En del kliniska prövningar kan även bedrivas helt utan en sponsors eller annan extern aktörs inblandning. Det kan exempelvis handla om att vårdgivaren själv initierar en klinisk prövning för att t.ex. utvärdera de metoder i vården som vårdgivaren använder.

Att antalsberäkna och identifiera möjliga deltagare (pre-screening)

Inför en klinisk prövning preciseras vilka inklusions- och exklusionskriterier som ska gälla för studien, d.v.s. vilka villkor som måste vara uppfyllda för att en person ska kunna ingå i studien. Det är således endast de patienter som lever upp till villkoren som kan erbjudas deltagande i en klinisk prövning. Detta innebär bland annat att antalsberäkningen och identifieringen av möjliga deltagare samt rekrytering av dessa är grundförutsättningar för att en klinisk prövning över huvud taget ska kunna genomföras.

Att antalsberäkna och identifiera möjliga deltagare i en klinisk prövning görs ofta olika skeden av ett forskningsprojekt. Medan identifieringen av potentiella deltagare görs efter det att den aktuella studien har blivit godkänd av en regional etikprövningsnämnd, kan antalsberäkningen behöva äga rum i ett tidigare skede, t.ex. för att undersöka om det över huvud taget finns ett tillräckligt stort patientunderlag för att genomföra studien hos en viss vårdgivare eller till och med i Sverige. Den som överväger att initiera och bedriva en klinisk prövning, oavsett om det är vårdgivaren själv eller en sponsor, kan med andra ord tidigt i processen behöva få en indikation på om det är möjligt att genomföra studien på det sätt det är tänkt. Pre-screening kan därmed vara en användbar metod för att bedöma möjligheterna till genomförande av en planerad studie samt för utformning av den slutliga studiedesignen. Att snabbt få ett besked som bekräftar om

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

161

det finns ett tillräckligt stort patientunderlag som kan tillfrågas är värdefullt för den aktör som sedan ska fatta beslut om var studien ska genomföras.

Ett sätt att inleda arbetet är därför att jämföra uppgifter i patientjournaler med studiens villkor för deltagande. Om det endast handlar om att beräkna det potentiella patientunderlaget kan exempelvis en sökning i journalsystemet ge svar på frågeställningen. Vid ett sådant arbetssätt kan det relativt snabbt och enkelt vara möjligt att beräkna antalet personer som motsvarar villkoren i studien. Uppgifter om antalet potentiella deltagare kan även lämnas till en eventuell sponsor, men några närmare uppgifter om de enskilda får inte lämnas ut. Utredningen har vid kontakter med vårdgivare fått information om att den sökning som görs i samband med en antalsberäkning av det potentiella patientunderlaget idag kan göras utan att några direkt utpekande personuppgifter exponeras. Det är likväl en personuppgiftsbehandling i personuppgiftslagens mening, men ur ett integritetsperspektiv är det naturligtvis positivt att inte fler personuppgifter än vad som är nödvändigt exponeras för hälso- och sjukvårdspersonalen.

Om det efter en antalsberäkning finns behov av att gå vidare för att kunna vända sig till enskilda personer och erbjuda dem medverkan i en etikgodkänd studie, behöver vårdgivaren naturligtvis ta del av personuppgifter som namn och personnummer. Det kan exempelvis handla om att särskilt utpekad hälso- och sjukvårdspersonal, exempelvis en forskningssjuksköterska går igenom patientunderlaget för att närmare granska vilka som passar in i studien efter de uppställda inklusions- och exklusionskriterierna. Vårdgivaren kan sedan informera de patienter som identifieras och erbjuda dem deltagande i studien.

Vidare kan konstateras att pre-screeningen, oavsett om det handlar om att endast beräkna antalet potentiella deltagare eller att identifiera möjliga deltagare, uteslutande görs inom ramen för vårdgivarens verksamhet. Det är hälso- och sjukvårdspersonal hos vårdgivaren som genomför arbetet och inga personuppgifter röjs för en eventuell sponsor av den kliniska prövningen i detta skede. Även själva rekryteringen, d.v.s. när individen får information om studien och erbjuds deltagande, görs inom vårdgivarens verksamhet. Om det är aktuellt att röja personuppgifter utanför vårdgivarens verksamhet, t.ex. till en eventuell sponsor, görs det endast efter det att den enskilde deltagaren samtyckt till deltagande i studien och till den personuppgiftsbehandling som ska utföras i studien samt till att personuppgifter lämnas ut till sponsorn.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

162

Därutöver kan konstateras att själva personuppgiftsbehandlingen som vårdgivaren utför i samband med att antalsberäkna och/eller identifiera potentiella deltagare är densamma oavsett om den kliniska prövningen är initierad av vårdgivaren själv eller om vårdgivaren planerar att bedriva studien på uppdrag av en sponsor.

Att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården bör uttryckligen omfattas av de tillåtna ändamålen

Patientdatalagens nuvarande ändamålsbestämmelser är relativt generellt utformade och utgör den yttersta ramen för en tillåten personuppgiftsbehandling. Inom ramen för detta måste vårdgivare sedan precisera ändamålen vid olika slags personuppgiftsbehandlingar.

Något ändamål som uttryckligen tar sikte på personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården finns inte i patientdatalagen. Närmast till hands torde vara att tillämpa bestämmelserna i 2 kap. 5 § PDL. Enligt dessa bestämmelser är det tillåtet att behandla personuppgifter för sådant utlämnande som görs i enlighet med lag eller förordning. Vidare är det tillåtet att behandla personuppgifter för något annat ändamål än det för vilket personuppgifterna samlades in, så länge det nya ändamålet inte är oförenligt med det ursprungliga. Personuppgiftslagens finalitetsprincip gäller således vid behandling av personuppgifter enligt patientdatalagen. Av den ovan nämnda bestämmelsen framgår även, genom en hänvisning till personuppgiftslagen, att en behandling för historiska, statistiska eller vetenskapliga ändamål aldrig ska anses som oförenliga med de ursprungliga ändamålen. När det gäller personuppgiftsbehandling för antalsberäkning finns även stora likheter med olika former av statistikframställning som vårdgivare utför.

Patientdatautredningen anförde i samband med utformningen av ändamålsbestämmelsen att personuppgiftsbehandlingen i hälso- och sjukvården är så komplex, omfattande och mångskiftande att det var nödvändigt att formulera ändamålsbestämmelserna tämligen generellt. En detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar ansågs inte vara möjligt och bedömdes även riskera att hämma utvecklingen av hälso- och sjukvårdens informationsförsörjning. Vidare uttalade patientdatautredningen att ändamålen i praktiken flyter in i varandra och att gränsdragningarna inte alltid är skarpa. En

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

163

och samma behandling av personuppgifter ansågs kunna ske för mer än ett ändamål.7

Utredningen delar patientdatautredningens uppfattning och anser att den personuppgiftsbehandling som görs i samband med prescreening, så som det beskrivits ovan, är ett tydligt exempel på när en personuppgiftsbehandling kan anses ske för flera närliggande och sammanhängande ändamål. Ibland kan personuppgiftsbehandlingen anses ske uteslutande för vårdgivarens egna ändamål, d.v.s. för egeninitierade prövningar. Andra gånger har vårdgivaren i egenskap av prövare och t.ex. läkemedelsbolaget i egenskap av sponsor i det närmaste ett gemensamt ändamål med den behandling av personuppgifter som antalsberäkningen och en eventuell identifiering av möjliga deltagare innebär.

Vidare kan den initiala personuppgiftsbehandlingen i vissa fall komma att resultera i att personuppgifter lämnas ut, t.ex. till en sponsor efter den enskildes samtycke. Andra gånger medför motsvarande personuppgiftsbehandling emellertid inget utlämnande, t.ex. när det är en vårdgivarinitierad studie. Vidare innebär personuppgiftsbehandlingen rörande de personer som visserligen söks fram initialt men sedan bedöms sakna någon av förutsättningarna för medverkan i studien, att personuppgifter varken kommer att lämnas ut eller behandlas för ett kommande forskningsändamål. Detsamma gäller för personer som blir tillfrågade om medverkan i studien, men som väljer att avstå.

Sammantaget finner utredningen att den nuvarande ändamålsbestämmelsen är svår att tillämpa på den personuppgiftsbehandling som här är aktuell. Vid en bedömning av den legala grunden för personuppgiftsbehandlingen framträder flera alternativa synsätt, där såväl finalitetsprincipen som personuppgiftsbehandling som ett led i ett lagligt utlämnande kan behöva analyseras. Att grunda en personuppgiftsbehandling på finalitetsprincipen innebär dessutom ett mått av osäkerhet. I dagsläget saknas vägledande avgöranden om hur finalitetsprincipen ska tillämpas vid vårdgivares behandling av personuppgifter i hälso- och sjukvården. Av den anledningen kan det finnas ett behov av praxis i denna fråga.

Sett mot bakgrund av vad som anförts bedömer utredningen att det finns övervägande skäl som talar för att det ur ett integritetsskyddsperspektiv tydligt bör framgå att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare i kliniska prövningar

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

164

och annan forskning inom hälso- och sjukvården ska omfattas av en egen, särskild, ändamålsbestämmelse. Vi bedömer inte att det är en helt tillfredsställande lösning att en sådan omfattande personuppgiftsbehandling som det torde vara frågan om, inte minst för universitetssjukhusens del, ska baseras på bedömningar av finalitetsprincipens tillämpning eller tillämpning av bestämmelsen om utlämnande som tillåtet ändamål.

Samtidigt kan naturligtvis ifrågasättas om den aktuella personuppgiftsbehandlingen bör vara något som ska anses ingå i vårdgivares primära ändamål. Här bör emellertid hälso- och sjukvårdens betydelse för den kliniska forskningen uppmärksammas. Kommuner och landsting har exempelvis genom 26 b § HSL en skyldighet att medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt arbete. Vidare har staten och vissa landsting träffat så kallade ALF-avtal om samarbete kring och ersättning för utbildning och medicinsk forskning. Att forskningsverksamhet är nära förknippat med hälso- och sjukvårdsverksamheten och huvudmännens ansvar är oomtvistat. Ett sätt för hälso- och sjukvården att bidra och medverka till forskning på hälso- och sjukvårdsområdet är att kunna svara på vilket potentiellt forskningsunderlag som finns hos olika vårdgivare.

Utredningens bedömning är därför att den här aktuella personuppgiftsbehandlingen är av sådan betydelse och karaktär att det får anses som en naturlig uppgift för hälso- och sjukvårdens aktörer. Det handlar i stor utsträckning om att behandla personuppgifter som ett led i ett (eventuellt) utlämnande av uppgifter för forskningsändamål. Om det i rättslig mening är att tala om en utlämnandesituation är beroende på om forskningen bedrivs av någon annan än vårdgivaren som forskningshuvudman eller om forskningen bedrivs av en, i förhållande till vårdgivarens hälso- och sjukvårdsverksamhet, självständig verksamhetsgren. Relationen mellan en vårdgivares hälso- och sjukvårdsverksamhet och forskningsverksamhet kan bedömas olika i sekretesshänseende beroende på vilken typ av forskning som bedrivs. Hälso- och sjukvårdsverksamhet inklusive forskning som utförs som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom en offentlig vårdgivares verksamhet å andra sidan, har ansetts utgöra självständiga verksamhetsgrenar i

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

165

förhållande till varandra.8 I sådana fall rör det sig således om en utlämnandesituation.

Alldeles oavsett om en klinisk prövning är vårdgivarinitierad och utförs i samma sekretessområde som vårdgivarens hälso- och sjukvårdsverksamhet eller om prövningen bedrivs i ett annat sekretessområde anser utredningen att den personuppgiftsbehandling som det är fråga om här, d.v.s. att antalsberäkna och identifiera möjliga deltagare, ska omfattas av regleringen i hälso- och sjukvårdsdatalagen. Därmed uppställs en likhet mellan denna personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren utför som ett led i andra utlämnandesituationer. Personuppgiftsbehandling får redan idag utföras med stöd av 2 kap. 5 PDL för att lämna ut personuppgifter, oavsett om utlämnandet görs för syften i den utlämnande vårdgivarens verksamhet eller om det görs för mottagarens räkning. Mot bakgrund av den skyldighet som vårdgivare har, enligt hälso- och sjukvårdslagen, att medverka vid planering och genomförande av kliniskt forskningsarbete kan även hävdas att pre-screening i allt väsentligt görs för vårdgivarens egna syften. Den personuppgiftsbehandling som aktualiseras därefter, t.ex. efter att en enskild samtyckt till att delta i studien, ska emellertid som idag primärt regleras av personuppgiftslagen.

Sammanfattningsvis bedömer utredningen att personuppgiftsbehandlingen ska regleras av hälso- och sjukvårdsdatalagen.

Särskilda villkor för att personuppgiftsbehandlingen ska vara tillåten

Utredningen anser att den här aktuella personuppgiftsbehandlingen egentligen är en behandling av personuppgifter för två olika ändamål, där det ena ändamålet är att antalsberäkna det potentiella deltagarunderlaget och det andra ändamålet är att identifiera vilka enskilda individer som motsvarar de kriterier som är uppställda för studien och som kan erbjudas deltagande. Vi bedömer även att personuppgiftsbehandlingen för de båda ändamålen skiljer sig åt ur ett integritetsperspektiv. I antalsberäkningen torde det egentligen vara ointressant vem den enskilde individen är. Med hänsyn till ändamålet med antalsberäkningen, som kan betraktas som en sammanställning, bedömer vi även att det saknas anledning att exponera några direkt utpekande personuppgifter. Av den information som utredningen tagit del av är det dessutom möjligt att utforma it-stöden på ett sådant

8 Jfr prop. 1979/80:2 Del A s. 463 f och 494

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

166

sätt att det är möjligt att beräkna det potentiella deltagarantalet utan att de enskilda deltagarnas identitet framgår. Mot den bakgrunden föreslår utredningen att personuppgiftsbehandling för att antalsberäkna det potentiella deltagarantalet för forskning inom hälso- och sjukvården ska anges som ett tillåtet ändamål i hälso- och sjukvårdsdatalagen.

Personuppgiftsbehandling som utförs för att identifiera enskilda individer som kan erbjudas medverkan i en forskningsstudie väcker dock enligt utredningens bedömning andra frågor. Här är det fråga om en mer ingående personuppgiftsbehandling där direkt utpekande uppgifter behöver användas på ett helt annat sätt än vad som gäller vid antalsberäkningen. Vi anser därför att den personuppgiftsbehandlingen, för att den ska vara tillåten, måste förenas med vissa integritetsskyddande villkor.

För det första föreslår vi att det ska krävas att den aktuella studien har godkänts av den regionala eller centrala etikprövningsnämnden. Att identifiera möjliga deltagare till studier som inte har varit föremål för etikprövningsnämndens ställningstagande och där godkänts, ska därmed inte vara tillåtet. Vi bedömer att det är påkallat med hänsyn till behovet av skydd för patienternas personliga integritet och att det ska gälla alldeles oavsett om det rör sig om en vårdgivarinitierad studie eller om en klinisk läkemedelsprövning där läkemedelsbolaget är sponsor. För att tydliggöra kravet på etikprövning bör det särskilt uttryckas i hälso- och sjukvårdsdatalagen.

Vidare anser vi att vårdgivare behöver ta fram rutiner och riktlinjer för hur personuppgiftsbehandlingen, både vid antalsberäkningen och vid identifieringen, ska gå till. Även om det enligt de grundläggande kraven i personuppgiftslagen och vad som i övrigt följer av bestämmelser om inre sekretess m.m. får anses otillåtet för hälso- och sjukvårdspersonal att på eget initiativ behandla personuppgifter för att antalsberäkna och/eller identifiera möjliga deltagare i forskningsstudier, anser vi att detta bör förtydligas genom riktlinjer från vårdgivarens sida. Vi föreslår därför att det i paragrafen uppställs ett krav på vårdgivare att ta fram riktlinjer för hur personuppgiftsbehandlingen för de här aktuella ändamålen ska utföras för att skydda de registrerades personliga integritet. Personuppgiftsbehandlingen för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården får således endast göras under förutsättning att riktlinjer har tagits fram och implementerats i verksamheten. Det

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

167

följer redan av hälso- och sjukvårdsdatalagens övergripande krav på vårdgivaren att utforma informationshanteringen och personuppgiftsbehandlingen med utgångspunkt bl.a. i behovet av skydd för den personliga integriteten att vårdgivaren måste ha riktlinjer och instruktioner till personalen. Detta förslag innebär en särskild påminnelse om detta ansvar för den aktuella personuppgiftsbehandlingen.

Generellt bedömer vi att det endast bör vara fråga om ett fåtal personer i en vårdgivares verksamhet som bör ha i uppdrag att utföra den aktuella personuppgiftsbehandlingen. Det kan exempelvis inte anses tillåtet för t.ex. den enskilde läkare som överväger att initiera eller föreslå en forskningsstudie att själv och på eget bevåg ta del av personuppgifter i journalsystemet för att bilda sig en uppfattning om hur en studie skulle kunna designas eller hur många eller vilka patienter som skulle kunna erbjudas deltagande. Av hänsyn till behovet av skydd för patienternas personliga integritet bör vårdgivare därför ta fram närmare riktlinjer om vad som ska gälla. Det är inte möjligt för utredningen att reglera i detalj vad sådana riktlinjer ska innehålla, men vi anser att riktlinjerna åtminstone kan behöva uttrycka följande.

• Att personuppgiftsbehandling för att identifiera möjliga deltagare endast får ske om forskningsstudien har godkänts av etikprövningsnämnden.

• Vem eller vilka som har kompetens för arbetsuppgiften och bör kunna utföra den aktuella personuppgiftsbehandlingen.

• Hur uppdraget till personer som får utföra personuppgiftsbehandlingen ska utformas.

• Hur åtkomst till uppgifter vid personuppgiftsbehandlingen ska loggas och i efterhand följas upp.

• Om någon form av internt ansöknings- eller anmälningsförfarande ska vara påkallat, t.ex. för att godkänna och registrera att det i enskilda fall är tillåtet att behandla personuppgifter för att identifiera möjliga deltagare.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

168

Information till patienter

För att patienter ska ha kännedom och kunna ha en överblick över de ändamål för vilka personuppgifter behandlas i hälso- och sjukvården är information en grundläggande förutsättning. Utredningen vill därför som en generell rekommendation uppmana vårdgivare att, för det fall det inte redan görs, i sina allmänna informationsinsatser riktade mot patienter inkludera information om vårdgivarens roll i samband med forskning inom hälso- och sjukvården. Sådan information kan lämpligen ges tillsammans med övrig information om personuppgiftsbehandlingen som vårdgivaren ska tillhandahålla patienter enligt den grundläggande bestämmelsen om informationsskyldighet i nuvarande 8 kap. 6 § PDL.

Att vända sig till patienter med erbjudande om deltagande i en forskningsstudie

Även om det kan sägas ligga utanför utredningens uppdrag vill vi även sätta ljuset på den, enligt vår mening, viktiga frågan om hur vårdgivaren på lämpligt sätt ska närma sig patienter med erbjudande om deltagande i kliniska prövningar och annan forskning på hälso- och sjukvårdens område. Enligt vår bedömning ställer detta moment stora krav på etiska överväganden, bland annat relaterat till individers personliga integritet, och varsamt tillvägagångssätt. För vårdgivarens del handlar det således inte enbart om att behandla personuppgifter och att ha rutiner för det, utan även om hur mötet med patienten arrangeras på ett sätt som värnar patientens behov av integritetsskydd och upprätthåller förtroendet för hälso- och sjukvården.

Nationella och regionala kvalitetsregister

Nationella kvalitetsregister är en naturlig kunskapskälla för forskning och av nuvarande bestämmelser i 7 kap. 5 § PDL framgår att uppgifter som behandlas i ett nationellt kvalitetsregister även får behandlas bland annat för forskning inom hälso- och sjukvården och för att framställa statistik. Vidare framgår av samma paragraf att det är tillåtet att lämna ut uppgifter till den som ska använda uppgifterna för sådan forskning.

SOU 2014:23 Grundläggande bestämmelser om behandling av personuppgifter

169

Till skillnad från en vårdgivares journalsystem, som innehåller vitt skilda uppgifter om en stor mängd olika patienter, är nationella kvalitetsregister koncentrerade i förhållande till ändamålet med registret. Ett kvalitetsregister innehåller därmed endast de personuppgifter som har bedömts behövas för registrets specifika ändamål. På motsvarande sätt som en forskningsstudie har kvalitetsregister därmed även vissa inklusionskriterier. Kännedom om vilka variabler som registreras i ett nationellt kvalitetsregister och hur stor täckningsgraden är kan därmed i sig utgöra tillräcklig information för en forskare som står i begrepp att initiera en forskningsstudie. I ett sådant fall ger således den allmänna informationen om kvalitetsregistret tillräckligt underlag för att beräkna det möjliga forskningsunderlaget.

Ibland kan uppgifter emellertid behöva utsökas på en mer detaljerad nivå än så, beroende på den aktuella studiens inriktning. Precis som vid den statistikframställning som får göras i nationella kvalitetsregister kan en personuppgiftsbehandling för forskningsändamål eller för ändamålet utlämnande därför ofta innebära att ett visst urval ur den totala mängden personuppgifter görs. Det är inte alltid så att samtliga personuppgifter i kvalitetsregistret eller personuppgifter rörande samtliga patienter är relevanta för dessa ändamål. På motsvarande sätt som beskrivits i det föregående vad gäller pre-screening i t.ex. vårdgivarnas journalsystem, kan personuppgifter i nationella kvalitetsregister också behöva behandlas för att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier.

Enligt utredningens erfarenhet görs sådan personuppgiftsbehandling idag, t.ex. sådan behandling som innebär att den myndighet som ansvarar för ett nationellt kvalitetsregister kan svara på hur ett möjligt forskningsunderlag ser ut. Jämfört med motsvarande personuppgiftsbehandling i ett journalsystem torde personuppgiftsbehandlingen i ett nationellt kvalitetsregister, bl.a. beroende på registrets begränsade informationsmängder och strukturerade dokumentation, snabbare kunna ge svar på hur stort det potentiella forskningsunderlaget är. Myndigheten som har det centrala ansvaret för ett kvalitetsregister behöver även utföra sådan personuppgiftsbehandling för att kunna ta ställning till och eventuellt administrera begäran om utlämnande av uppgifter till den som ska utföra en forskningsstudie. Att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier är därmed en nödvändig del av myndighetens arbete.

Grundläggande bestämmelser om behandling av personuppgifter SOU 2014:23

170

Utredningen bedömer att det redan av nuvarande regelverk med tillräcklig tydlighet följer att personuppgiftsbehandling för att antalsberäkna och/eller identifiera personer för forskning inom hälso- och sjukvården, är tillåtet i nationella och regionala kvalitetsregister. Detta eftersom det i regelverket för nationella kvalitetsregister uttryckligen framgår att personuppgifter som behandlas för kvalitetssäkring även får behandlas för forskning inom hälso- och sjukvården och för utlämnande till någon som ska bedriva sådan forskning. Något förtydligande härom i hälso- och sjukvårdsdatalagen anser vi därför inte behövs.

171

9 Säker och ändamålsenlig hantering av personuppgifter

9.1 Bakgrund

Dokumentationen i hälso- och sjukvården är utan tvekan av mer integritetskänslig karaktär än vad information i många andra sammanhang är. Det handlar i princip uteslutande om uppgifter om människors hälsa och livssituation. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i hälso- och sjukvården hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för hälso- och sjukvårdens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt i hälso- och sjukvården, så att enskilda patienter får en god och säker vård och så att kvaliteten och säkerheten i verksamheten fortlöpande kan utvecklas. Dokumenterade personuppgifter behöver därför sammantaget hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för patienterna.

Grundläggande förutsättningar för en ändamålsenlig informationshantering är bland annat att uppgifter finns tillgängliga när de behövs i och för vården av en patient. En annan förutsättning är att de uppgifter som dokumenteras om patienter förvaras och hanteras på ett sådant sätt att obehöriga inte kan komma åt dem, att uppgifter inte sprids utanför verksamheten, att de informationssystem som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras.

Det är vårdgivaren som har det yttersta ansvaret för informationssäkerheten i verksamheten. Det ansvaret är i dag främst

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

172

reglerat i patientdatalagen (2008:355), förkortad PDL, och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Vårdgivarens övergripande ansvar för kvaliteten i vården regleras i hälso- och sjukvårdslagen (1982:763), förkortad HSL, patientsäkerhetslagen (2010:659), förkortad PSL, och Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.

Utredningens utgångspunkt är att en lagstiftning om personuppgiftsbehandling i hälso- och sjukvården så långt möjligt bör ge ett samlat uttryck för de ändamål som ligger bakom ovan nämnda författningar.

9.2 Våra överväganden och förslag

Vår bedömning: Hälso- och sjukvårdsdatalagen bör innehålla

ett kapitel om en säker och ändamålsenlig hantering av personuppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i hälso- och sjukvården ska kunna utföras på ett sätt som tillgodoser enskildas behov av god och säker vård m.m.

Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom hälso- och sjukvården. Det är även viktigt att det inom en vårdgivares verksamhet finns ett integritetsskydd avseende hanteringen av uppgifter om patienter, dvs. som har med den så kallade inre sekretessen att göra. Utredningen bedömer att de nuvarande bestämmelserna om inre sekretess m.m. bör föras över till den nya lagen endast med några mindre förändringar. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom hälso- och sjukvården.

Vårdgivaren har, som ovan nämnts, det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäkerheten handlar i detta avseende även om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

173

ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser patienternas behov av integritetsskydd. Tillgång till personuppgifter i hälso- och sjukvården vid rätt tillfälle är en förutsättning för att enskilda patienter ska få en god och säker vård. Mot den bakgrunden anser vi att hälso- och sjukvårdsdatalagen även ska uttrycka vårdgivarens övergripande skyldighet att ta ansvar för att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och för patienterna, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i hälso- och sjukvården.

Vi anser att bestämmelser som reglerar det övergripande ansvaret för en säker och ändamålsenligt hantering av personuppgifter i hälso- och sjukvården bör samlas i ett särskilt kapitel i lagen. Syftet med att välja ut några särskilt viktiga bestämmelser i detta avseende och lyfta dessa i ett eget avsnitt är att betona vårdgivarens och yrkesutövarnas ansvar för att uppfylla lagens syfte. Kapitlet bör omfatta några nya bestämmelser och några bestämmelser som överförs något omformulerade från patientdatalagen.

9.2.1 Ansvar för den som arbetar hos en vårdgivare – inre sekretess

Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen

om inre sekretess ska överföras, med mindre justeringar, till hälso- och sjukvårdsdatalagen. I lagen ska anges att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de i lagen tillåtna ändamålen för behandling av personuppgifter.

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

174

Det personliga yrkesansvaret och tystnadsplikten

Utöver vårdgivarens yttersta ansvar för informationshanteringen har hälso- och sjukvårdspersonalen ett personligt yrkesansvar som innefattar ett ansvar för hantering av personuppgifterna. I det personliga yrkesansvaret ingår att utföra arbetet i enlighet med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten och patienten ska visas omtanke och respekt (6 kap. 1 § PSL).

En grundläggande princip som gäller för hälso- och sjukvårdspersonalen är principen om tystnadsplikt. Den är juridiskt reglerad genom bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, patientsäkerhetslagen och genom bestämmelser om inre sekretess. Utöver dessa tvingande regler är principen om tystnadsplikt inom hälso- och sjukvården även en grundläggande etisk princip som fanns uttryckt redan i den Hippokratiska eden.

Vad jag under min yrkesutövning än hör och ser bland människor av den beskaffenhet att det måhända icke bör spridas, ska jag förtiga och betrakta som osagt.

Tystnadsplikten finns också uttryckt i de yrkesetiska regler som yrkesutövare inom hälso- och sjukvården förbinder sig till. Läkarförbundet anför om sina yrkesetiska regler att den som valt att bli läkare har åtagit sig en svår och ansvarsfull uppgift, som kräver goda kunskaper och vilja att följa de etiska krav som läkaren genom årtusenden erkänt vara normgivande. I de etiska reglerna stadgas angående tystnadsplikten att läkaren ska iakttaga tystlåtenhet

om all information rörande enskild patient, såvida det inte äventyrar patientens väl.1 Den etiska koden för sjuksköterskor har motsva-

rande formuleringar. Det är nödvändigt med en förtroendefull relation mellan en patient och en yrkesutövare inom hälso- och sjukvården för att en god och säker vård ska kunna erbjudas.

Tystnadsplikten innebär ett förbud mot att röja uppgift, vare sig det görs muntligen, skriftligen eller på annat sätt. Inom vården handlar det inte enbart om dokumenterade uppgifter, utan även om alla andra typer av uppgifter som är av personlig art.

1 http://www.slf.se/Etikochansvar/Etik/Lakarforbundets-etiska-regler/

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

175

Inre sekretess

Reglerna om inre sekretess avser att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt inom ett sekretessområde. Även om uppgifterna finns tillgängliga inom ett sekretessområde så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är i dag reglerad i patientdatalagen. Ett ytterligare skydd för uppgifter inom ett sekretessområde är patientens möjlighet att spärra uppgifterna för åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess. Dessa viktiga bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säkerställer ett grundläggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjukvården.

Lagens kapitel om säker och ändamålsenlig hantering av personuppgifter bör enligt vår bedömning inledas med en bestämmelse som riktar sig till den som arbetar hos en vårdgivare och som reglerar ansvaret för den inre sekretessen. Bestämmelsen är inte ny utan är en omformulering av den bestämmelse om inre sekretess som gäller i dag. Denna bestämmelse är förmodligen den som ställt till med mest tillämpningsproblem i gällande patientdatalag. Vi har därför velat förtydliga den och sätta den i ett sammanhang som generellt handlar om ansvar för en säker hantering av uppgifter i vården.

Enligt vårt förslag får den som arbetar hos en vårdgivare endast ta del av dokumenterade uppgifter om en patient om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de ändamål som är tillåtna enligt lagen. Vi anser således att man kan ta bort det första ledet ”om han eller hon deltar i vården av patienten” som finns i dagens bestämmelse och gå direkt på kravet att uppgifterna ska behövas i arbetet i hälso- och sjukvården. Den som deltar i vården av en patient behöver ju uppgifterna för sitt arbete inom hälso- och sjukvården. Vi anser därför att det räcker med att koppla kravet till behovet av uppgifterna i arbetet. Vi hoppas att det ska leda till mindre missförstånd eftersom många läsare stannar vid första ledet ”deltar i vården” och därför tolkar bestämmelsen mer restriktivt än nödvändigt.

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

176

För att göra bestämmelsen mer komplett bör de enligt vår bedömning hänvisa till den grundläggande ändamålsbestämmelsen i hälso- och sjukvårdsdatalagen. Ändamålsbestämmelsen beskriver för vilka syften det är tillåtet att behandla personuppgifter i hälso- och sjukvården. För att den som arbetar åt vårdgivaren ska få behandla personuppgifter måste uppgifterna behövas i arbetet hos vårdgivaren för ett av de tillåtna ändamålen. Detta gäller visserligen redan i dag, men vi gör bedömningen att det kan underlätta tillämpningen om hänvisningen till vilka ändamål som är tillåtna finns uttryckligt med i bestämmelsen. Eftersom vi även tydliggjort själva ändamålsbestämmelsen på ett sådant sätt att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienten bedömer vi att vägledningen för yrkesutövarna nu blir bättre än tidigare.

Genom hänvisningen till ändamålsbestämmelsen blir det därför tydligt att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient om det behövs exempelvis för

• patientens vård och behandling,

• att föra journal,

• att upprätta administration som rör patientens vård,

• planering, uppföljning, utvärdering och tillsyn av verksamheten,

• att framställa statistik om hälso- och sjukvården, eller

• att kunna administrera utlämnanden av patientuppgifter.

Ett annat exempel på ett tillåtet ändamål för behandling av personuppgifter är att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten”. Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv när det gäller att utveckla verksamhetens kvalitet. Den som arbetar hos en vårdgivare kan därmed, med stöd av vårdgivarens uppdrag, ta del av uppgifter om en patient för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m.2

Situationen då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten liknar den då yrkesutövaren ska ta ställning till om han eller hon har rätt att ta del av uppgifter som har gjorts tillgängliga genom

2 Läs mer om att använda personuppgifter för att utveckla kvaliteten i verksamheten i vår delredovisning enligt direktiv 2013:43, bilaga 4

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

177

direktåtkomst av en annan vårdgivare. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete åt vårdgivaren. Den grundförutsättningen gäller både vid sammanhållen journalföring och när man tar del av uppgifter i den egna verksamheten. Den föreslagna bestämmelsen om inre sekretess ska tillämpas oavsett om uppgifterna finns inom verksamheten eller har gjorts tillgängliga av en annan vårdgivare. I sammanhanget ska dock förtydligas att de tillåtna ändamålen för åtkomst till uppgifter hos andra vårdgivare i system för sammanhållen journalföring är begränsade.

Det ligger ett ansvar på vårdgivare att utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamålsenlig hantering som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.3

9.2.2 Ansvar för att uppgifter är tillgängliga när de behövs

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård-

givaren ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar hos en vårdgivare när uppgifterna behövs i och för vården av en patient.

Vårdgivaren är ytterst ansvarig för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete inom hälso- och sjukvården och så att de skyddas från obehöriga. Även om det inte föreligger någon tveksamhet om vårdgivarens ansvar kan det var ett bra stöd vid tillämpningen av lagen att också konkret uttrycka vad detta ansvar innefattar. Själva syftet med att föra patientjournal går förlorad om uppgifterna inte finns tillgängliga där de behövs. Därför måste vårdgivaren vara medveten om detta ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

178

avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.

Att ha tillgång till korrekta och relevanta uppgifter om en patient är en förutsättning för att hälso- och sjukvårdspersonalen ska kunna leva upp till kraven på god och säker vård. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.

9.2.3 Ansvar för att skydda uppgifterna vid överföring via internet m.m.

Vårt förslag: I hälso- och sjukvårdsdatalagen ska tas in bestäm-

melser om att vårdgivare ska se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska vårdgivaren se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.

Bestämmelsen i 4 kap. 6 § PDL om landstingets ansvar för att skydda patientens identitet i vissa fall ska överföras till den nya lagen.

Kravet att vårdgivaren ska se till att obehöriga inte kan ta del av dokumenterade personuppgifter är en omformulering av sista stycket i nu gällande syftesbestämmelse i 1 kap. 2 § PDL. Vi anser att denna bestämmelse istället ska utformas som en materiell bestämmelse om ansvar för vårdgivaren. Vårdgivaren som har det yttersta ansvaret för att verksamheten bedrivs säkert ur alla aspekter ansvarar också för att se till att dokumenterade personuppgifter hanteras och förvaras så att obehöriga inte kan ta del av dem. Detta gäller redan i dag men är inte lika tydligt reglerat på den övergripande nivån.

Ansvaret innebär bl.a. att vårdgivaren måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten.

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

179

Överföring av personuppgifter över internet eller andra jämförliga nät

I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika delar av en vårdgivares verksamhet och om sådan överföring som görs till mottagare utanför den egna vårdgivarens organisation. Som exempel på det senare kan nämnas sådant informationsutbyte som görs med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.

Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns emellertid ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.4

Avgörande för frågan om ett intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan sägas karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.

Det är enligt vår bedömning inte möjligt att hälso- och sjukvårdsdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämpningen kan hämtas ur Datainspektionens uttalande ovan. Vårdgivare i hälso- och sjukvården behöver därför göra en bedömning av om de nät, utöver internet, som används för överföring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.

4 Datainspektionen, dnr. 1409-2012

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

180

I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen (1998:204), förkortad PUL, gäller särskilda begränsningar för behandling av s.k. känsliga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana personuppgifter överförs via internet eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.

Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöverträdelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om uppgifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden.

Mot bakgrund av ovanstående kan konstateras att uppgifter inom hälso- och sjukvården i det närmaste uteslutande är att betrakta som känsliga enligt 13 § PUL, eftersom uppgifterna rör enskildas hälsa. Uppgifterna ska därmed skyddas på ett särskilt sätt vid överföring över t.ex. internet.

När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

181

För hälso- och sjukvårdens del uttrycks detta, i princip, genom bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter föregås av stark autentisering.

Några bestämmelser härom finns emellertid inte i patientdatalagen. Utredningen bedömer att detta är en inte helt tillfredsställande lösning med avseende på den omfattande behandling av känsliga personuppgifter som görs inom hälso- och sjukvården. Vidare är utredningens utgångspunkt att hälso- och sjukvårdsdatalagen ska vara så uttömmande som möjligt ifråga om de integritetsskyddsbestämmelser som det bedöms finnas särskilt behov av för hälso- och sjukvårdens del. Därför anser vi att det i den föreslagna lagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.

Sammantaget föreslår utredningen således att det i hälso- och sjukvårdsdatalagen ska tas in en bestämmelse som tydliggör kraven på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om vårdgivare använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste överföras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.

9.2.4 Ansvar för informationssystemens utformning

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård-

givare ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer det kliniska arbetet, underlättar arbetet med kvalitetsutveckling, underlättar samverkan och utbyte av uppgifter samt är utformade på sådant sätt att patienternas integritetsskydd tillgodoses.

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

182

Vårdgivaren har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Av hälso- och sjukvårdslagen följer att hälso- och sjukvården ska vara av god kvalitet och att det ska finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges. Vidare är vårdgivaren skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.

Svensk sjukvård har sedan länge en hög datoriseringsgrad. Till exempel har i princip alla landsting it-stöd för all vårddokumentation. Trots detta anser professionernas företrädare att huvuddelen av systemen inte ger det stöd i arbetet som behövs för att bedriva en effektiv och säker verksamhet.5 Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t ex att underlätta att göra rätt och förhindra att göra fel både i systemet och vid utförandet av vårdinsatserna. Ett användarvänligt informationssystem kan öka vård- och omsorgskvaliteten för vårdtagare och personal samt minska kostnaderna för vårdgivaren.

Vi föreslår en bestämmelse som konkretiserar några av de grundläggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas i och för vården av en patient. Vårdgivaren är ytterst ansvarig för att en god och säker vård ges och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att kravställa och upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.

Vi föreslår att bestämmelsen ställer ett uttryckligt krav på vårdgivaren att se till att de informationssystem som innehåller personuppgifter är lätta att använda och stödjer det kliniska arbetet. Detta krav finns även uttryckt som ett av målen för Nationell eHälsa6:

5 Störande eller stödjande? Om eHälsosystemens användbarhet 2013 6 Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

183

Vård- och omsorgspersonal ska ha tillgång till välfungerande och samverkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nödvändig och strukturerad information ska finnas tillgänglig som underlag för beslut om insatser och behandlingar.

Vi föreslår också att bestämmelsen ska omfatta krav på vårdgivaren att se till att informationssystemen underlättar kvalitetsarbetet. Vårdgivare fullgör sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av personuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. Informationssystemen måste vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verksamheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritetsskydd tas tillvara vid kvalitetsarbetet. Bland annat måste vårdgivare verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler personuppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.

Vi föreslår även att vårdgivarens ansvar för att systemen ska möjliggöra samverkan med andra enheter, verksamheter och vårdgivare och utbyte av uppgifter uttrycks i bestämmelsen. För att lyckas med detta måste vårdgivaren arbeta med informationssystemens struktur och innehåll. Vårdgivaren kan i detta arbete exempelvis få stöd av Socialstyrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.

Vidare innebär det övergripande ansvaret för de informationssystem som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

184

vårdgivaren för flera aspekter av informationssäkerhet vid hanteringen av personuppgifter i hälso- och sjukvården. Det är alltså ett ansvar för att lagens intentioner kan genomföras.

9.2.5 Ansvar för behörighetstilldelning

Vårt förslag: Den nuvarande paragrafen om tilldelning av

behörighet för elektronisk åtkomst ska föras över från patientdatalagen något förändrad. Vi föreslår att ordet anpassas införs i paragrafen. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar hos en vårdgivare ska kunna fullgöra sina arbetsuppgifter. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter.

Inledning

Regler om behörighetsstyrning är enligt utredningens bedömning alldeles nödvändiga för att tillgodose enskildas behov av integritetsskydd inom hälso- och sjukvården. Bestämmelser om behörighetsstyrning syftar till att upprätthålla integritetsskyddet och allmänhetens förtroende för hälso- och sjukvårdens informationshantering, men även till att främja en mer ändamålsenlig informationshantering sett ur ett patientsäkerhets- och effektivitetsperspektiv. Förutom att skydda den personliga integriteten kan en bra behörighetsstyrning medföra att hälso- och sjukvårdspersonalens åtkomst till uppgifter blir mer anpassade efter de enskilda användarnas behov. Genom en effektiv behörighetsstyrning kan exempelvis journalsystemens gränssnitt utformas så att de i större utsträckning än tidigare anpassas efter enskilda användares behov av uppgifter för att kunna utföra sitt arbete. I stället för att användaren ska exponeras för sådana uppgifter som är oväsentliga i sammanhanget eller behöva leta efter de relevanta uppgifterna kan behörighetsstyrningen bidra till att användaren snabbare får tillgång till just den information som behövs. En välutvecklad behörighetsstyrning kan därför ha positiva effekter inte bara på integritetsskyddet och på patientsäkerheten och effektiviteten i hälso- och sjukvården, utan även på informationssystemens användbarhet.

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

185

Utredningen föreslår att de nuvarande bestämmelserna i 4 kap. 2 § PDL om vårdgivarens ansvar för tilldelning av behörighet för åtkomst förs över från patientdatalagen. Även fortsättningsvis ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter. Utredningen delar även regeringens bedömning att utgångspunkten ska vara att behörigheten begränsas till vad enskilda yrkesutövare behöver för att kunna utföra sitt arbete.7 Mot bakgrund av vad vi anför ovan anser vi samtidigt att bestämmelsen, bland annat för att tydliggöra behörighetsstyrningens koppling till patientsäkerhet, effektivitet och användbarhet, kan behöva justeras något. I sak avser vi inte att förändra innebörden av bestämmelsen. Vi vill däremot tydliggöra att behörighetsstyrningen inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar informationstillgången efter användarens behov.

Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Vi anser att det kan ha ett positivt signalvärde att konkret uttrycka att utformningen av behörigheten för åtkomst inte enbart avser att skydda den registrerades integritet utan också – i linje med lagens syfte – ska säkerställa yrkesutövarens tillgång till de uppgifter som behövs för att kunna erbjuda patienten en god och säker vård.

En väl fungerande behörighetsstyrning kan även bidra till att öka kvaliteten, säkerheten och effektiviteten i vården. Med en mer strukturerad vårddokumentation och en väl fungerande behörighetsstyrning ökar förutsättningarna för att anpassa gränssnitten för personalens tillgång till uppgifter i ett journalsystem efter varje användares behov. Vid våra kontakter med hälso- och sjukvårdspersonal framkommer ofta kritik mot journalsystemens utformning och bristande anpassning efter olika yrkesutövares behov. Inte sällan påtalas att yrkesutövare behöver sålla bland ostrukturerad och för dem i situationen irrelevant information. För att kunna skräddarsy användargränssnitten behöver sannolikt ett omfattande arbete göras med att strukturera och klassificera informationen i hälso- och sjukvården. I ett sådant arbete bör organisatoriska och tekniska åtgärder för en mer ändamålsenlig behörighetsstyrning ha en naturlig plats.

7Prop. 2007/08:126 s. 148 f. och 239 f.

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

186

Närmare om behörighet och behörighetsstyrning

Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i journalsystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.

Den som arbetar hos en vårdgivare ska tilldelas en individuell behörighet för åtkomst till uppgifter om patienter. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall därmed inte vara elektroniskt tillgängliga för den anställde. Behörigheten handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Bestämmelser om behörighetsstyrning kompletterar därför bestämmelsen om inre sekretess som nämnts ovan.

I verksamheter som hanterar en stor mängd mycket integritetskänsliga uppgifter, som hälso- och sjukvården, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörighetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten att komma så nära som möjligt. En del av utmaningen ligger i att det i vissa verksamheter är svårt att förutse vilka individer som en användare kommer att möta i sitt yrke. I vissa delar av hälso- och sjukvården är den osäkerheten ett naturligt inslag som måste vägas in i styrningen av behörigheterna. Det är viktigt att behörigheten inte blir för snäv utan att den är anpassad till de tänkbara behov som finns, så att inte kvaliteten och säkerheten i vården av patienterna riskeras. Dessa svårigheter utgör dock inget skäl för att låta bli att göra de begränsningar av behörigheterna som är motiverade. Sådana uppgifter som en användare inte alls har något behov av ska inte heller vara tekniskt åtkomliga för användaren, dvs. inte ligga inom användarens behörighet.

Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra,

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

187

dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. En sådan situation ställer även stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.

9.2.6 Ansvar för kontroll av elektronisk åtkomst

Vårt förslag: Bestämmelserna om åtkomstkontroll i 4 kap. 3 §

patientdatalagen ska föras över oförändrade till hälso- och sjukvårdsdatalagen.

En vårdgivare ska enligt nuvarande bestämmelser i 4 kap. 3 § patientdatalagen se till att åtkomst till uppgifter om patienter dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter görs. Vidare har regeringen eller den myndighet som regeringen bestämmer en möjlighet att meddela föreskrifter om dokumentation av åtkomst och åtkomstkontroll. Sådana närmare bestämmelser finns i dag i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Utredningen föreslår att paragrafen om åtkomstkontroll förs över oförändrad till hälso- och sjukvårdsdatalagen. Paragrafen behandlades av regeringen i prop. 2007/08:126 s. 149 f. och 240 f.

Dokumentation av åtkomsten (behandlingshistorik)

En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorik som behövs för att

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

188

kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.

Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt det gjordes. Utredningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll, precis som i dag, med fördel meddelas på myndighetsnivå och det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.

Åtkomstkontroll

Paragrafen innebär att vårdgivare, precis som i dag, ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om patienter. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande.

För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Av checklistan framgår bland annat följande.8

• Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.

• Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.

8 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

189

• Bestäm urval och omfattning och utforma en verkningsfull rutin.

• Följ rutinen och dokumentera resultatet av granskningen.

• Utvärdera och utveckla rutinen.

I checklistan förmedlar Datainspektionen även det viktiga budskapet att det inte endast är antalet loggkontroller som avgör hur verkningsfullt arbetet med åtkomstkontroll är. I linje med Datainspektionens uttalande nedan anser utredningen att vårdgivare behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verkningsfull för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomstkontrollen.

Bestäm med vilken omfattning (antal och tidsintervall) logguppföljningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.

Utöver ovanstående bedömer utredningen att en patients tillgång till loggar, t.ex. via internet, om den åtkomst till uppgifter om patienten själv som har förekommit, kan vara ett komplement till vårdgivarens arbete med åtkomstkontroller. Sådan tillgång för patienten förändrar dock inte det rättsliga ansvar för åtkomstkontrollen som följer av utredningens förslag.

9.2.7 Tillsyn över en säker och ändamålsenlig hantering av personuppgifter

Hantering av information är en förutsättning för den faktiska verksamheten i hälso- och sjukvården. Informationen som genereras i verksamheten används för att skapa bästa möjliga resultat för patienten och måste samtidigt hanteras så att den personliga integriteten skyddas så långt det är möjligt.

Det är Inspektionen för vård och omsorg (IVO) och Datainspektionen som har tillsynen över hur vårdgivaren uppfyller sitt ansvar för informationshanteringen i verksamheten.

Säker och ändamålsenlig hantering av personuppgifter SOU 2014:23

190

Datainspektionen ska genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Det innebär exempelvis att Datainspektionen kan kontrollera att vårdgivaren vidtar tillräckliga säkerhetsåtgärder för att skydda personuppgifterna, till exempel att vårdgivaren har rutiner för behörighetsstyrning och åtkomstkontroll. Tillsynsmyndighetens tillsynsansvar omfattar även behandling av personuppgifter inom socialtjänsten.

Som har redovisats i tidigare avsnitt har Datainspektionen varit aktiv i sin tillsyn över personuppgiftsbehandlingen inom hälso- och sjukvården. Tillsynen har satt ljuset på en bristande efterlevnad av flera av de bestämmelser som särskilt syftar till att värna den personliga integriteten.

IVO har tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. För att en säker verksamhet ska kunna bedrivas måste personuppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och individen. På det sättet ingår integritetsskyddet även i IVO:s tillsynsansvar.

I takt med att hälso- och sjukvården utvecklas och nya sätt att hantera information implementeras i vården måste, enligt utredningens mening, även tillsynen utvecklas. Det är liksom förut nödvändigt att en myndighet som IVO utövar tillsyn över att patientjournaler förs och att dokumentationen innehåller rätt uppgifter. Men ett journalsystem är inte bara bärare av information, det är också ett nödvändigt arbetsverktyg för yrkesutövare i den patientnära hälso- och sjukvårdsverksamheten. Detta verktyg måste kunna användas på ett säkert sätt. Det kräver såväl rätt kompetens hos användaren som rätt utformning av informationssystemet.

Informationssystem kan, om de inte är ändamålsenligt utformade, i sig innebära risker i vården. Det finns enligt utredningens bedömning anledning för vårdgivare att arbeta mer aktivt med kravställning och utveckling av de informationssystem som används i vården. Hur ska systemen vara utformade för att

SOU 2014:23 Säker och ändamålsenlig hantering av personuppgifter

191

vara användbara? Hur ska de vara utformade för att underlätta och stödja det patientnära arbetet? Hur ska de vara utformade för att säkerställa att viktig information inte missas i samband med ställningstaganden kring patienternas behandling? Hur ser ett ändamålsenligt användargränssnitt ut i olika delar av hälso- och sjukvården? Har verksamheten ändamålsenliga rutiner för in- och utloggning m.m.?

Dessa verksamhetsnära frågor, som har betydelse för hur verksamheten kan bedrivas på ett säkert och effektivt sätt ingår därför också i tillsynsmyndigheternas uppdrag. De informationssäkerhetsaspekter som aktualiseras i dessa frågeställningar har betydelse för patientens säkerhet och kvaliteten i den vård patienterna erbjuds. Patientens säkerhet handlar såväl om att skydda patienten mot kroppsliga skador och psykiskt lidande och mot dödsfall som hade kunnat undvikas. Men kraven måste, enligt utredningens mening, ställas högre; kvaliteten i hälso- och sjukvården måste utvecklas och ständigt bli bättre. Ändamålsenliga informationssystem som används på rätt sätt kan förbättra kvaliteten i hälso- och sjukvården. Det är därför nödvändigt med en aktiv tillsyn från båda tillsynsmyndigheterna i syfte att följa hur vårdgivarna tar sitt ansvar för en säker, ändamålsenlig och effektiv hantering av informationen och de system som hanteras den.

Utredningen anser att det kan finnas anledning för tillsynsmyndigheterna att fånga upp de signaler som yrkesutövare inom hälso- och sjukvården lyft i olika sammanhang vad gäller informationssystemens användbarhet. Av t.ex. rapporten Störande eller stödjande framgår att tekniken många gånger upplevs som ett hinder för att kunna ge god vård på ett effektivt sätt.9

Utredningens förhoppning är, att den tydligare regleringen av ansvaret för en säker och ändamålsenlig hantering av information som vi föreslagit i det föregående, kan utgöra ett bra stöd för en ännu effektivare tillsyn av hur vårdgivarna uppfyller detta ansvar.

9 Störande eller stödjande? Om eHälsosystemens användbarhet 2013

193

10 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

10.1 Bakgrund

Dagens utveckling med ökad mångfald av aktörer i hälso- och sjukvård och socialtjänst, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.

För hälso- och sjukvårdens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Som exempel kan nämnas de system för sammanhållen journalföring som finns såväl regionalt som nationellt. I den landstingsfinansierade delen av hälso- och sjukvården har det på regional nivå bland annat medfört att allt fler vårdgivare använder samma journalsystem och arrangerar det på ett sådant sätt att utbyte genom direktåtkomst blir möjligt. På nationell nivå samt för informationsutbytet mellan landstings- och kommunfinansierade vårdgivare har exempelvis den Nationella patientöversikten, NPÖ, utvecklats som en möjlighet till sammanhållen journalföring.

I sammanhanget kan även nämnas de gemensamma satsningarna som landstingen initierat vad gäller invånartjänster, t.ex. den pågående utvecklingen för att ge patienter tillgång till patientjournaler på internet. Även Mina vårdkontakter kan nämnas som en slags

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

194

plattform för att gemensamt möta och tillgodose patienters behov av tillgänglighet, information och service och där personuppgifter behandlas i gemensamma lösningar.

Ytterligare ett exempel på gemensamt framtagna lösningar och regelverk utgörs av den nationella Tjänsteplattformen. Tjänsteplattformen förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom vård och omsorg. Varje tjänst som vill ansluta sig till Tjänsteplattformen följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan istället genom tjänsteplattformen, som i sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis en vårdgivare. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet och de kostnader som en s.k. punkt-till-punktintegration av system och tjänster ger upphov till.

På den nationella arenan finns flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara vårdgivare, myndigheter, leverantörer, intresseorganisationer, samverkansorgan m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för nationell e-hälsa väcker därför nya frågor relaterat till ansvaret för behandlingen av de personuppgifter som hanteras i de gemensamma lösningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funktioner och åtgärder som utgör själva basen för den gemensamma personuppgiftsbehandlingen och som alla inblandade är beroende av och behöver rätta sig efter. I utredningsdirektivet anges exempelvis följande med beröringspunkt på dessa frågor.

En viktig förutsättning för ett fullgott integritetsskydd är tydlighet i fråga om personuppgiftsansvaret, som bl.a. innebär ett skadeståndsansvar gentemot individen. När det gäller exempelvis informations-, spärr- och samtyckesfrågor i förhållande till individer måste personuppgiftsansvaret därför vara tydligt. Personuppgiftsansvaret måste

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

195

också vara tydligt med avseende på it-säkerhet inklusive organisatoriska och tekniska åtgärder, såväl på nationell nivå som i enskilda verksamheter.

Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där tusentals vårdgivare i hälso- och sjukvården kan komma att samverka kring gemensamma lösningar för att utbyta patientinformation med varandra eller för att göra patientjournaler tillgängliga över internet för patienterna. Det kan inte heller uteslutas att en rad nya områden och utvecklingsarbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.

Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fastställa krav och nivåer för grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.

10.1.1 Vårt uppdrag

I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering.

Som tidigare redovisats föreslår vi att patientdatalagens (2008:355), förkortad PDL, bestämmelser om personuppgiftsansvar förs över i huvudsak oförändrade till den hälso- och sjukvårdsdatalag som föreslås. Det kan därutöver finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av personuppgifter i hälso- och sjukvården.

Särskilda frågor om fördelning av personuppgiftsansvar m.m. vid kommunikation med medborgare, t.ex. vid journaler på internet

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

196

och personliga hälsokonton och motsvarande, behandlas även i avsnitt 33. De frågor utredningen har att hantera har även beröringspunkter med E-hälsokommitténs uppdrag att se över ansvarsfördelningen mellan de inblandade aktörerna på e-hälsoområdet. I dessa delar har vi därför samrått med den utredningen.

10.2 Generellt om personuppgiftsansvar

Enligt 3 § personuppgiftslagen (1998:204), förkortad PUL, är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det innebär att personuppgiftsansvaret kan delas eller vara gemensamt för flera. I en del fall kan det vara svårt att bedöma vem eller vilka som är personuppgiftsansvariga för en viss behandling. Ytterst är det dock en fråga om faktiska omständigheter. Olika överenskommelser eller avtalskonstruktioner kan beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Därmed är det den som faktiskt, med eller utan rätt, bestämmer beträffande behandlingen som är personuppgiftsansvarig.1

Vidare kan i lag eller förordning bestämmas vem som är personuppgiftsansvarig för en viss behandling. En sådan bestämmelse tar över den nämnda regleringen i personuppgiftslagen. I registerförfattningar är det vanligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i författningen. Som exempel på detta kan nämnas att Socialstyrelsen är personuppgiftsansvarig för hälsodataregistren och att eHälsomyndigheten är personuppgiftsansvarig för receptregistret och läkemedelsförteckningen.

Av personuppgiftslagen följer att det för en och samma personuppgiftsbehandling kan finnas två eller flera personuppgiftsansvariga. För att någon ska anses som personuppgiftsansvarig räcker det nämligen att den tillsammans med andra kan bestämma ändamålen med och medlen för personuppgiftsbehandlingen. Det är något oklart vad som avses med att flera bestämmer tillsammans och vad som är en respektive flera behandlingar av personuppgifter. Det kan räcka att flera gemensamt och i samråd faktiskt har bestämt att genomföra en

1 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 78.

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

197

viss behandling, även om var och en rättsligt eller faktiskt haft möjlighet att ensam bestämma.2

Hälso- och sjukvården

När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet regleras personuppgiftsansvaret i dag av patientdatalagen. Av 2 kap. 6 § PDL följer att vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Vidare preciseras att i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför.

Regleringen kan sägas ge uttryck för och vara en precisering av den grundläggande principen i personuppgiftslagen om att den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig.

I patientdatautredningen anfördes exempelvis följande i sammanhanget.3

När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. Istället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjukvården är vårdgivaren, t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjukvårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är personuppgiftsansvarig för den personuppgiftsbehandling som sker hos vårdgivaren. I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för den personuppgiftsbehandlingen, förutsatt att organet är så självständigt att det är en förvaltningsmyndighet. --- Vi menar att det är den mest lämpliga ordningen att personuppgiftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå.

Mot bakgrund av patientdatautredningens uttalanden kan konstateras att regleringen av personuppgiftsansvaret i patientdatalagen i allt

2 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 83. 3SOU 2006:82 s. 195 f.

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

198

väsentligt är en kodifiering och ett förtydligande av den praxis som har utvecklats vid tillämpningen av personuppgiftslagen.

Regleringen i patientdatalagen innebär dock i ett avseende ett avsteg från praxis. I 2 kap. 6 § andra stycket slås nämligen fast att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett landsting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet. Vid tillämpningen av personuppgiftslagen har uppfattningen däremot varit att den som endast har tillgång till personuppgifter genom att t.ex. söka bland och läsa uppgifter som ingår i en uppgiftssamling utan att själv ha varken några rättsliga befogenheter eller faktiska möjligheter att ändra eller komplettera de uppgifter som ingår i samlingen, inte kan anses vara personuppgiftsansvarig för den behandling som sökningar och bearbetningar vid sådan tillgång innefattar.4

Patientdatalagens reglering innebär dock ett avsteg från denna uppfattning eftersom det av lagens bestämmelser förtydligas att en vårdgivare är personuppgiftsansvarig även vid sådan direktåtkomst där vårdgivaren tar del av andra vårdgivares uppgifter. För socialtjänstens del finns inte någon sådan reglering i dag, sannolikt eftersom motsvarande möjligheter till direktåtkomst inte heller finns i lagstiftningen om socialtjänstens personuppgiftsbehandling. I utredningens förslag till socialtjänstdatalag föreslås dock att en sådan bestämmelse tas in, dvs. som förtydligar att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.

10.3 Personuppgiftsansvar vid samverkan mellan olika aktörer

När det gäller personuppgiftsansvarets fördelning vid olika typer av gemensam personuppgiftsbehandling, eller gemensam användning av system och lösningar för att vidta personuppgiftsbehandling, saknas egentlig praxis i form av vägledande domstolsavgöranden. Det finns dock ett antal vägledande uttalanden i förarbeten, varav

4 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 81.

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

199

följande rörande personuppgiftsbehandlingen i socialförsäkringens administration kan nämnas.5 Det rör ansvarsförhållandet mellan olika Försäkringskassor och dåvarande Riksförsäkringsverket för personuppgiftsbehandling i it-system som de olika myndigheterna gemensamt använde.

Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet. För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behandlingar som utförs. Förslaget om fördelning av personuppgiftsansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling. I övergripande frågor, såsom ansvar för att tekniska och organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig systemägare för Riksförsäkringsverkets och försäkringskassornas gemensamma it-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor.

Regeringens uttalande i propositionen ger uttryck för den princip som även föreslås vara gällande i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, nämligen att personuppgiftsansvaret normalt ska vila på den som i och för sin verksamhet faktiskt utför en behandling av personuppgifter. Samtidigt uppmärksammade regeringen att även andra kan ha ett personuppgiftsansvar beroende på vilka behandlingar som faktiskt utförs och att personuppgiftsansvaret för övergripande säkerhetsåtgärder inte nödvändigtvis behöver vara gemensamt.

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

200

10.3.1 Patientdatautredningens resonemang m.m.

Även patientdatautredningen uppmärksammade frågor om personuppgiftsansvar vid samverkan mellan flera aktörer. Patientdatautredningen reflekterade särskilt över vad som borde gälla när flera vårdgivare samverkar i system för sammanhållen journalföring. Även om utredningen konstaterade att det kan finnas skäl från integritetsskyddssynpunkt peka ut vem som ska vara personuppgiftsansvarig, bedömdes det som olämpligt och omöjligt med hänsyn till de faktiska omständigheterna och de skiftande samarbetsformer m.m. som kan finnas. Mot den bakgrunden föreslog utredningen istället att regleringen skulle ta sin utgångspunkt i att det vid sammanhållen journalföring är den som faktiskt har möjlighet att påverka om och hur en enskild personuppgiftsbehandling ska företas, som bör vara personuppgiftsansvarig för den behandlingen. Vidare anförde utredningen följande.6

I praktiken innebär patientdatalagens allmänna bestämmelse om personuppgiftsansvar bl.a. att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten i skede 1 ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Bestämmelsen innebär vidare – till skillnad från vad som torde följa vid enbart en tillämpning av personuppgiftslagen – att den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär.

I likhet med utredningen om socialförsäkringens administration (se ovan), för även patientdatautredningen ett resonemang om vad som bör gälla för mer övergripande frågor och förhållanden som är relaterade till den gemensamma informationshanteringen. Den centrala frågan i sammanhanget är vem eller vilka som ansvarar för att personuppgifterna skyddas genom tekniska eller organisatoriska säkerhetsåtgärder. Denna fråga är sannolikt än mer aktuell i dag, eftersom det inte längre endast är fråga om vårdgivares samarbete vid sammanhållen journalföring utan generellt om en mängd olika

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

201

aktörers samverkan i en rad olika frågor som alla innehåller moment av personuppgiftsbehandling.

Patientdatautredningen lämnar inget generellt och heltäckande svar på frågan om det övergripande ansvaret utan anför att det beror på hur man i rättstillämpningen bedömer de faktiska förhållandena i det enskilda fallet. Samtidigt anser patientdatautredningen att som huvudregel bör gälla att ansvaret för sådana övergripande frågor bör delas solidariskt mellan de samarbetande vårdgivarna eller myndigheterna, dvs. vara gemensamt för dem som tillgängliggör journaluppgifter i ett system för sammanhållen journalföring. Men utredningen anför vidare att det samtidigt inte går att utesluta att organisationerna eller samarbetsformerna kan komma att gestalta sig på väldigt skilda sätt, vilket kan få betydelse vid en bedömning av ansvaret för övergripande frågor.7

En aktör som personuppgiftsansvarig för övergripande frågor

Mot bakgrund av de olika typer av samarbetsformer och faktiska omständigheter som kan tänkas föreligga vid samverkan mellan vårdgivare uppmärksammade patientdatautredningen att de faktiska omständigheterna mycket väl skulle kunna peka på att endast en av de samverkande vårdgivarna är att betrakta som personuppgiftsansvarig för frågor om övergripande tekniska och organisatoriska säkerhetsåtgärder. Bland annat följande av intresse i sammanhanget anfördes.8

Det är tänkbart att sådana översikter lagras och behandlas i en gemensam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting. Om det landstinget i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet, kan det tala för att den aktuella myndigheten inom landstinget bör kunna anses ha ett personuppgiftsansvar för övergripande frågor. Exempelvis har vid Stockholms läns landstings presentation för utredningen av planerna på en för alla landstingets vårdgivare gemensam vårddokumentation, GVD, nämnts att det kan komma att från landstingets sida ställas som villkor vid ingående eller förlängning av entreprenadavtal med privata vårdgivare att de deltar i GVD. Vid sådana förhållanden är det enligt vår mening tveksamt om de privata vårdgivarna intar en sådan överordnad position i förhållande till landstinget som gör att landstinget kan anses behandla personuppgifter i enlighet med varje privat vårdgivares instruktioner (jämför 30 § personuppgiftslagen).

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

202

Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom vi inte kan förutse i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Rimligen kan behov av en tydligare reglering uppkomma vid t.ex. etablerandet av en heltäckande nationell läkemedelsjournal eller om den nationella patientöversikten utvecklas och förverkligas på bred front i enlighet med de planer som nu finns. Även andra specifika samarbeten i form av sammanhållen journalföring kan visa sig vinna på en författningsreglering av personuppgiftsansvaret, som utöver integritetsvinsterna för enskilda, ger en central aktör vissa möjligheter att samlat styra över och administrera verksamheten.

Patientdatatutredningen anförde således att vid olika typer av samarbeten mycket väl kan vara så att någon av de inblandade aktörerna har en sådan självständig och inflytelserik position i förhållande till de övriga att det kan konstituera ett personuppgiftsansvar för de övergripande frågorna. Däremot bedömdes det inte möjligt att i lag reglera personuppgiftsansvaret. Mot den bakgrunden föreslog utredningen istället en bestämmelse som ger regeringen möjlighet att vid behov närmare reglera personuppgiftsansvaret i sådana övergripande frågor om säkerhetsåtgärder just i system för sammanhållen journalföring. Regeringen har dock fram till i dag inte fattat något sådant beslut eller gett någon myndighet rätt att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder.

Även E-delegationen har i olika sammanhang berört frågan om ansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder. Bland annat när det gäller frågan om personuppgiftsansvar i samband med att nya möjligheter utvecklas för myndigheter att kommunicera och inhämta information från enskilda, anför Edelegationen följande.9

De olika tjänster och kommunikationskanaler som införs för e-förvaltningen berör olika aktörer. Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme.

9 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

203

E-delegationens uttalande har kanske framför allt beröringspunkter med den utveckling som i dag sker inom hälso- och sjukvården och socialtjänsten för att öka servicen och tillgängligheten m.m. gentemot invånarna. Det handlar exempelvis om utvecklingen inom Mina vårdkontakter och olika former av personliga hälsokonton m.m. För tydlighets skull vill utredningen dock påpeka att man är personuppgiftsansvarig för behandlingen av personuppgifter och inte, som E-delegationens uttalande ovan kan ge sken av, för informationen i sig.

10.3.2 Några exempel från Datainspektionens tillsyn m.m.

Utredningen konstaterar att den tekniska utvecklingen och de nya samarbetsformerna har medfört att det kan vara betydligt svårare än tidigare att identifiera vilken aktör eller vilka aktörer som har faktiska möjligheter att påverka i frågor som rör efterlevnaden av integritetsskyddslagstiftningen. Även om ett personuppgiftsansvar i någon mening naturligtvis alltid ligger hos den som faktiskt har rådighet att rent praktiskt företa eller avstå från att företa en viss personuppgiftsbehandling, kan det ibland ifrågasättas om denna möjlighet motsvaras av en reell valsituation eller om sättet för personuppgiftsbehandling närmast är en förutsättning för att kunna bedriva verksamhet på de villkor som satts upp av finansiären, exempelvis ett landsting eller en kommun.

Detta förhållande har i viss mån även bekräftats av tillsynsmyndighetens agerande för att försöka åstadkomma rättelse i enskilda fall. Datainspektionen har exempelvis vid tillsyn över vårdgivares deltagande i system för sammanhållen journalföring funnit anledning att vid konstaterandet av brister, inleda en tillsyn mot den aktör som inspektionen bedömt har de reella möjligheterna att åtgärda bristerna. Ett exempel på detta är Datainspektionens tillsyn över en privat driven vårdcentral som använder samma system för sammanhållen journalföring som används av Stockholms läns landsting. I tillsynsbeslutet mot den privata vårdgivaren konstaterar Datainspektionen att vårdgivaren behandlar personuppgifter i strid med patientdatalagen och att inspektionen förutsätter att bristerna åtgärdas. Samtidigt anför inspektionen följande i beslutet.10

10 Datainspektionens beslut 2011-02-17, dnr 591-2010

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

204

Datainspektionen anser att det är Stockholms läns landsting (Landstinget) som har reella möjligheter att åtgärda denna brist i journalsystemet. Datainspektionen kommer med anledning av detta att snarast inleda tillsyn mot Landstinget.

På motsvarande sätt konstaterade Datainspektionen i ett annat tillsynsärende att en privat vårdgivare, på grund av hur journalsystemet var utformat, inte levde upp till ett antal av de grundläggande och integritetsskyddande kraven i patientdatalagen. Även om Datainspektionen i beslutet förvisso förutsätter att vårdgivaren åtgärdar bristerna, uttalar inspektionen följande.11

När det gäller bristerna beträffande de tekniska funktionerna i journalsystemet, anser Datainspektionen att det är Landstinget Sörmland (Landstinget) som har reella möjligheter att åtgärda ovanstående brister. Datainspektionen kommer med anledning av detta att snaras inleda tillsyn mot Landstinget.

Dessa tillsynsbeslut visar, enligt utredningens uppfattning, på att det kan finnas behov av att tydliggöra vem som har de faktiska möjligheterna att vidta åtgärder för att tillgodose enskildas behov av skydd för den personliga integriteten. Precis som patientdatautredningen anförde kan det i dag finnas ett antal samarbeten där det vid en utredning om de faktiska förutsättningarna skulle visa sig att en aktör, eller möjligtvis ett fåtal aktörer, har dikterat villkoren för de övrigas medverkan och har de egentliga befogenheterna att ansvara för och utföra åtgärder för att skydda personuppgifterna och se till att de system som används gör det möjligt att behandla personuppgifter i enlighet med lagstiftningens krav. Detta behöver dock inte utesluta att var och en av de ingående aktörerna fortsatt har ett personuppgiftsansvar för den behandling av personuppgifter som man faktiskt utför.

Den rådande utvecklingen har kommit att innebära att ett antal olika aktörer ofta är inblandade i olika led och delar av en personuppgiftsbehandling som på ett generellt plan görs för samma övergripande ändamål. Det ändamålet kan exempelvis vara att lämna ut och ta del av personuppgifter genom direktåtkomst eller lämna ut personuppgifter elektroniskt till medborgare. Såvitt utredningen har funnit saknas i dag domstolsavgöranden som, på den detaljnivå det är fråga om här, har tagit ställning till olika aktörers personuppgiftsansvar för vad som i allt väsentligt utgör en och samma

11 Datainspektionens beslut 2011-02-17, dnr 590-2010.

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

205

övergripande personuppgiftsbehandling. Frågan kan visserligen anses ha berörts närmast i förbigående av Högsta förvaltningsdomstolen i ett mål mot Försäkringskassan. Målet handlade något förenklat om Försäkringskassans eventuella ansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder i samband med att medborgare använder en av kassan framtagen självbetjäningstjänst för begäran om tillfällig föräldrapenning via sms. Högsta förvaltningsdomstolen uttalar bland annat följande (vår kursivering nedan).12

Den serie av åtgärder i fråga om personuppgifter som vidtas i de aktuella fallen kan betraktas som led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Det gäller trots att Försäkringskassan saknar möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga för kassan. Det gäller också oberoende av om någon eller

några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan.

Även om det nämns i förbigående tyder den kursiverade meningen på att domstolen inte utesluter att det vid sidan om Försäkringskassan kan finnas andra aktörer som i sammanhanget utför sådan personuppgiftsbehandling som konstituerar ett personuppgiftsansvar även för någon annan. Datainspektionen har även i ett tillsynsärende mot företaget Wiky rörande en s.k. rejtingsajt på internet berört frågan om personuppgiftsansvaret och dess innehåll om flera aktörer är inblandade. Datainspektionen anför bland annat följande av intresse i sammanhanget.13

Wikys personuppgiftsbehandling omfattar såväl behandling av de uppgifter som Wiky på egen hand lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten. Att tjänsten är omodererad, dvs. att användarnas omdömen publiceras utan föregående granskning eller åtgärd av Wiky, innebär dock att personuppgiftsansvaret är begränsat i vissa delar eftersom företaget inte i alla avseenden besitter fullständiga rättsliga och faktiska möjligheter att förfoga över de aktuella uppgifterna. Wikys personuppgiftsansvar för tjänsten utesluter inte att även den enskilde användaren har ett sådant ansvar för behandling av personuppgifter i reco.se, dvs. för sådan behandling av personuppgifter som användaren utför.

12 Högsta förvaltningsdomstolens dom 5 juni 2012, mål nr. 4453-10. 13 Datainspektionens beslut 2010-01-11, dnr 1288-2009.

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

206

Även om detta ärende rörde relationen mellan enskilda användare och den som tillhandahåller möjligheterna för personuppgiftsbehandlingen, sätter tillsynsärendet delvis ljuset på den svårighet som kan finnas dels att identifiera personuppgiftsansvaret, dels att slå fast vad personuppgiftsansvaret i olika delar omfattar. Trots att tillsynsärendet inte rörde frågor om personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder finns, enligt utredningens bedömning, flera paralleller till den utveckling som sker inom e-hälsa lokalt, regionalt och nationellt. Detta eftersom det även i dessa samarbeten ofta är nödvändigt att reflektera över de ingående aktörernas inbördes förhållanden och ansvarsfördelning för vad som många gånger kan betraktas som en serie av personuppgiftsbehandlingar för samma övergripande ändamål.

10.4 Våra överväganden och förslag

10.4.1 Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att en

vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra vårdgivarna om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.

Vår bedömning: Bestämmelsen i 6 kap. 6 § PDL om att

regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring ska inte föras över till den föreslagna hälso- och sjukvårdsdatalagen.

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

207

Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna

När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Vårdgivare som exempelvis lämnar ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring har ett självklart intresse av att skyddet för personuppgifterna garanteras och att övriga samverkande vårdgivare har förutsättningar för att behandla personuppgifter i överensstämmelse med integritetsskyddsbestämmelserna. För de samverkande aktörerna inom hälso- och sjukvården handlar det bland annat om att se till att informationssäkerheten anpassas till legala krav i hälso- och sjukvårdsdatalagen, men även till exempelvis offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782) och patientsäkerhetslagen (2010:659). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare villkoren för samarbetet och hur de legala kraven ska tillgodoses.

Enligt vår bedömning riskerar avsaknaden av krav på överenskommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bakgrunden föreslår vi att hälso- och sjukvårdsdatalagen ska innehålla uttryckliga krav på överenskommelser i dessa avseenden. En vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter ska därför komma överens med de andra vårdgivarna hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses innan samarbetet inleds. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklingsarbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som görs inom ramen för Mina vårdkontakter, journaler på nätet eller grundläggande funktioner som den nationella tjänsteplattformen.

Överenskommelsen mellan vårdgivare ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de samverkande vårdgivarnas organisatoriska och tekniska förutsättningar

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

208

att skydda personuppgifterna. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en vårdgivare, eller de samverkande vårdgivarna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst eller annat samarbete kring behandling av personuppgifter inleds. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande vårdgivarna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande vårdgivarnas förutsättningar att leva upp till hälso- och sjukvårdsdatalagens krav på behörighetsstyrning och åtkomstkontroll.

Hur överenskommelsen ska tecknas ska vara upp till de samverkande vårdgivarna att avgöra. Enligt vår bedömning riskerar alltför detaljerade anvisningar från lagstiftarens sida att låsa in vårdgivarna i lösningar som inte är tillräckligt flexibla med hänsyn till den komplexa situation och de olika slags samarbeten som det här är fråga om. Det finns inget som hindrar att överenskommelsen utgörs av en kombination av flera olika åtgärder. En av flera sådana möjliga kombinationer kan vara ett anslutningsavtal eller motsvarande som i vissa delar kompletteras av att vårdgivarna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Begreppet överenskommelse ska därmed ges en vidsträckt innebörd. Det handlar enligt vår bedömning inte i första hand om hur överenskommelsen rent formellt konstrueras utan fokus bör istället sättas på frågorna i sak, dvs. hur en tillfredsställande informationssäkerhet och hur skyddet för personuppgifterna ska tillgodoses.

I sammanhanget kan nämnas att Myndigheten för samhällsskydd och beredskap, MSB, har tillsammans med några andra myndigheter formulerat en strategi för ökad informationssäkerhet i vård och omsorg. Syftet med strategin är att skapa förutsättningar för att vård och omsorg ska kunna bedrivas med rätt nivå av informationssäkerhet för att kunna tillgodose medborgare, patienters och samhällets behov av insyn, delaktighet, patientsäkerhet och personlig integritet. Strategin ska ge stöd för att hantera de nya risker som inte enbart kan åtgärdas av de enskilda

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

209

sjukvårdshuvudmännen.14Om den strategin så småningom utmynnar i ett förslag till ett mer detaljerat regelverk skulle det kunna vara ett exempel på ett sådant gemensamt regelverk som samverkande vårdgivare och andra aktörer kan ansluta sig till.

Det är i detta sammanhang inte möjligt att uttömmande ange vad en överenskommelse enligt vårt förslag ska innehålla, eftersom de samarbeten som här avses kan visa upp betydande skillnader i omfattning och innebörd. Syftet är att överenskommelsen totalt sett ska omfatta de områden som behövs för att skydda personuppgifterna, de olika former av resurser som används för att behandla personuppgifter samt det som behövs för att se till att personuppgiftsbehandlingen kan bedrivas på ett sätt som upprätthåller en god och säker vård. På en övergripande nivå berör det grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet.

Den överenskommelse som här avses kan även innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. I stället för att den enskilde exempelvis ska behöva vända sig till flera av de inblandade vårdgivarna kan det finnas skäl för vårdgivarna att komma överens om och praktiskt arrangera det på sådant sätt att patienten endast behöver vända sig till en aktör för att få loggutdraget. En sådan aktör behöver naturligtvis inte vara en av de inblandade vårdgivarna, utan kan mycket väl vara ett personuppgiftsbiträde åt vårdgivarna. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.

Att i lagen ställa krav på överenskommelse mellan de inblandade vårdgivarna bidrar enligt vår bedömning till en förstärkning av integritetsskyddet och till en uppmärksamhet kring grundläggande informationssäkerhetsfrågor. För ett sådant samhällsviktigt område som hälso- och sjukvården är informationssäkerheten en grundläggande förutsättning för att kärnverksamheten ska kunna fungera

14 Myndigheten för samhällsskydd och beredskap, 2012-06-20, Strategi för stärkt informationssäkerhet inom vård och omsorg.

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

210

optimalt och på ett sätt som reducerar säkerhetsrisker som kan medföra negativa konsekvenser för enskilda. Patienter ska kunna känna trygghet och förtroende för att informationshanteringen utformas på ett sådant sätt att behovet av integritetsskydd förenas med möjligheterna att ge en god och säker vård, oavsett vilken av de inblandade vårdgivarna som patienten möter.

Kravet på överenskommelse innebär att vårdgivaren, innan det faktiska samarbetet avseende behandlingen av personuppgifter inleds, behöver arbeta aktivt tillsammans med andra vårdgivare för att identifiera vad överenskommelsen behöver innehålla för att informationssäkerheten och skyddet för den personliga integriteten ska kunna tillgodoses. För tillsynsmyndigheten blir det förhoppningsvis även, till skillnad från i dag, ett underlag för att mer effektivt kunna bedöma reella integritetsskyddsrisker och vidtagna åtgärder när många vårdgivare samarbetar. Det bidrar även till att upprätthålla förtroendet för hälso- och sjukvårdens informationshantering och reducera riskerna för sådana omotiverade och ofrivilliga integritetsförluster som annars kan uppstå om ett gemensamt grepp över dessa frågor saknas.

Ett tydligt tillämpningsområde för den föreslagna bestämmelsen är de samarbeten som förekommer på lokal och regional nivå när vårdgivare utbyter personuppgifter genom direktåtkomst. I dag görs det med stöd av reglerna för sammanhållen journalföring och med vårt förslag kommer det istället att kunna göras genom direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Denna, för vissa geografiska områden, utvidgning av de reella möjligheterna att utbyta information ska därför balanseras bland annat mot detta krav på överenskommelse mellan vårdgivarna. De vårdgivare inom en huvudmans ansvarsområde som har för avsikt att utbyta personuppgifter genom direktåtkomst ska således genom en överenskommelse fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Vårdgivare har därför ett ansvar för att inte lämna ut uppgifter genom direktåtkomst om inte en sådan överenskommelse finns.

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

211

Ett tydliggörande av personuppgiftsansvaret

Utredningen anser, i likhet med patientdatautredningens resonemang, att det i vissa situationer finns särskilda behov av att tydliggöra hur personuppgiftsansvaret för frågor om övergripande tekniska och organisatoriska säkerhetsåtgärder är fördelat. Generellt bedömer vi att det för skyddet av den enskildes personliga integritet finns starka skäl för att tydliggöra ansvaret för övergripande tekniska och organisatoriska åtgärder i sådana samarbeten där flera aktörer använder samma lösningar för att bland annat behandla personuppgifter. Förutom att det blir tydligt för den enskilde vilken eller vilka aktörer som den enskilde ska vända sig till i övergripande frågor, blir ansvaret även tydligt för de inblandade aktörerna själva. I dag kan detta ansvar ibland vara höljt i dunkel. Inte minst i sådana samarbeten där hundratals aktörer samverkar. Ett tydliggörande av personuppgiftsansvarets fördelning kan bland annat leda till att det fastställs att samtliga inblandade vårdgivare tillsammans har personuppgiftsansvar för övergripande säkerhetsåtgärder, men det kan även innebära att en eller ett fåtal av vårdgivarna anses ha detta ansvar. Enligt utredningens uppfattning borde det senare, mot bakgrund av de faktiska omständigheterna inte vara en alltför ovanlig situation i de samarbeten som det här är fråga om.

I dessa samarbeten ingår aktörer som har vitt skilda förutsättningar att agera i frågor som rör de närmare villkoren för övergripande frågor. Det kan exempelvis ifrågasättas vilka reella möjligheter en normalstor privat vårdgivare har att utföra åtgärder för att påverka övergripande säkerhetsfrågor i system som utvecklats av ett eller flera stora landsting tillsammans. Inte sällan kan dessutom den privata vårdgivaren vara mer eller mindre hänvisad till att använda en viss teknisk funktion eller ett visst system för den aktuella personuppgiftsbehandlingen.

Att vid behov tydligt peka ut en aktör som ansvarig för de övergripande åtgärderna skulle synliggöra ansvaret för de övergripande säkerhetsåtgärderna och bättre överensstämma med de faktiska förutsättningarna. Vi bedömer att detta behov är betydligt större än tidigare och betydligt mer omfattande än endast system för sammanhållen journalföring. Utvecklingen i hälso- och sjukvården går, liksom i hela den offentliga e-förvaltningen, mot att många behöver samarbeta för att åstadkomma en informationshantering

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

212

som är kostnadseffektiv, säker och ger en bra service till medborgarna. Inte sällan är dessa samarbeten i praktiken även en förutsättning för jämlika förhållanden för medborgare i olika delar av landet.

En annan fråga som har ökat i aktualitet är vilka avtal som behövs för att reglera ansvarsfördelning och säkra skyddet för personuppgifterna i situationer där många aktörer samverkar. I praktiken har detta kommit att medföra en ökad administration och ett behov av en omfattande mängd personuppgiftsbiträdesavtal. Inte minst inom hälso- och sjukvården där hundratals och på sikt tusentals vårdgivare sannolikt kommer att utnyttja samma tekniska lösningar blir avtalssituationen komplex. Detta beror inte bara på antalet personuppgiftsansvariga, utan även på antalet personuppgiftsbiträden. Det är i dag vanligt förekommande att flera personuppgiftsbiträden är involverade på olika nivåer och i olika delar av personuppgiftsbehandlingen. Av bland annat den anledningen har landstingen tagit fram s.k. modellavtal som kombinerar personuppgiftsbiträdesavtalens innehåll och struktur med fullmaktslösningar. Modellavtalen bygger på principen om kaskadavtal och innebär att ett personuppgiftsbiträde ges fullmakt att, för de personuppgiftsansvarigas räkning, teckna biträdesavtal med eventuella ”underbiträden”. På ett sådant sätt kan avtalshanteringen koncentreras och antalet avtal reduceras samtidigt som skyddet för uppgifterna formellt säkras. Om det vid samarbeten mellan olika aktörer i större utsträckning skulle utpekas en aktör som ansvarig för övergripande frågor om tekniska och organisatoriska åtgärder skulle antalet avtal sannolikt minska ytterligare. Samtidigt skulle avtalen inte heller behöva omfatta frågor om övergripande säkerhetsåtgärder.

För att inte enskilda ska riskera att lida omotiverade integritetsförluster på grund av att personuppgiftsansvaret är oklart eller odefinierat till sitt innehåll anser utredningen att det finns skäl att i större utsträckning än vad som förekommit hittills tydliggöra personuppgiftsansvaret för övergripande säkerhetsåtgärder. Det är i sammanhanget även nödvändigt att analysera om nuvarande reglering är ändamålsenlig eller om det kan behövas andra åtgärder för att stimulera ett tydliggörande av personuppgiftsansvaret.

I patientdatalagen ges regeringen i dag en möjlighet att peka ut en aktör som personuppgiftsansvarig för frågor om organisatoriska och tekniska säkerhetsåtgärder. Vi ställer oss tveksamma till om den nuvarande modellen i patientdatalagen med möjligheter för

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

213

regeringen att agera i frågan är ändamålsenlig. Vidare kan ifrågasättas hur denna möjlighet för regeringen egentligen förhåller sig till den grundläggande principen om personuppgiftsansvarets fördelning utifrån de faktiska omständigheterna.

Det framgår inte i förarbetena till bestämmelsen hur den är tänkt att tillämpas och vilka utgångspunkter som ska gälla för regeringens bedömning. Medan personuppgiftsansvaret i grunden alltid innehas av den som faktiskt har bestämt ändamål och medel för behandlingen av personuppgifter, synes bestämmelsen inte ställa krav på att regeringen ska utgå ifrån de faktiska omständigheterna vid ett eventuellt ställningstagande till personuppgiftsansvaret. Det kan därmed inte uteslutas att regeringen skulle kunna peka ut någon aktör som personuppgiftsansvarig för övergripande säkerhetsåtgärder, men som vid en bedömning av de faktiska förhållandena inte kan anses ha bestämt ändamål och medel för personuppgiftsbehandlingen. Om den bakomliggande tanken med lagstiftningen är att regeringen ska fatta ett beslut baserat på de faktiska omständigheterna, blir saken inte mindre viktig att reflektera över. Detta eftersom det i yttersta fall borde vara fråga för domstol att avgöra vem eller vilka som är personuppgiftsansvariga. Enligt utredningens bedömning medför bestämmelsens oklarheter i relation till de grundläggande bestämmelserna i personuppgiftslagen att den är mindre lämplig. Det kan också konstateras att regeringen hittills inte fattat något beslut om personuppgiftsansvar i enlighet med bestämmelsen.

Vidare kan det ifrågasättas om det skulle vara lämpligt för regeringen att fatta ett beslut om personuppgiftsansvaret utan att reglera övriga frågor kring den aktuella personuppgiftsbehandlingen. Normalt ska ett utpekande av personuppgiftsansvar åtföljas av en detaljerad reglering av ansvarets omfattning, ändamålen för behandlingen, vilka personuppgifter som får behandlas osv. Enligt utredningens uppfattning bör detta vara utgångspunkten även för frågor om personuppgiftsansvar för övergripande säkerhetsåtgärder i system för sammanhållen journalföring.

Det kan inte heller uteslutas att bestämmelsen bidrar till den passivitet hos vårdgivarna själva som hittills har kunnat konstateras. Såvitt utredningen har kännedom om har ingen vårdgivare ännu tydligt deklarerat ett ansvar för övergripande säkerhetsåtgärder t.ex. för lokala eller regionala system för sammanhållen journalföring. Det får dock bedömas som sannolikt att det vid en analys av de faktiska omständigheterna finns vårdgivare som dikterat

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

214

villkoren för de övrigas medverkan på ett sådant sätt att personuppgiftsansvaret för övergripande säkerhetsfrågor skulle kunna anses ligga på denne. Möjligen kan utformningen av den nuvarande bestämmelsen ha medfört att ansvaret för övergripande säkerhetsåtgärder närmast har setts som en fråga för regeringen och inte för de iblandade aktörerna själva.

Sammantaget anser vi det finns befogade invändningar mot den nuvarande bestämmelsen i patientdatalagen. Vi anser därför att den inte bör överföras till den föreslagna hälso- och sjukvårdsdatalagen. Det innebär att regeringen på det område som rör sammanhållen journalföring får motsvarande möjligheter som regeringen har på andra områden i samhället, dvs. att genom lagstiftning särskilt reglera frågor om personuppgiftsansvar.

Vår utgångspunkt är att frågor om personuppgiftsansvar i första hand bör hanteras av den eller de personuppgiftsansvariga själva. Det är de inblandade som har bäst kännedom om de bakomliggande faktorerna och de faktiska omständigheterna. Av den anledningen finns det skäl att stimulera de inblandade aktörerna att själva aktivt analysera och ta ställning till frågan om någon eller några anses ha ett personuppgiftsansvar för övergripande säkerhetsåtgärder. Det skulle i allt väsentligt vara en positiv utveckling ur ett integritetsskyddsperspektiv. Därför föreslår vi en grundläggande bestämmelse som anger att vårdgivare som utbyter uppgifter genom direktåtkomst eller på annat sätt samverkar vid behandling av personuppgifter, genom överenskommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Syftet med bestämmelsen är att stimulera de inblandade aktörerna att analysera det närmare samarbetet och tydliggöra personuppgiftsansvaret utifrån de faktiska omständigheterna. Resultatet av överenskommelsen kan således vara att samtliga vårdgivare tillsammans anses ha personuppgiftsansvar för övergripande säkerhetsåtgärder, eller att en eller ett fåtal av de samverkande vårdgivarna anses ha detta ansvar.

Enligt vår bedömning behövs ingen särskild författningsreglering som tydliggör att en av de inblandade aktörerna kan ha ett personuppgiftsansvar för övergripande frågor. Det följer redan av personuppgiftslagens principer och definition av personuppgiftsansvar. Inte heller hindrar bestämmelser i förslaget till hälso- och sjukvårdsdatalag detta. Regeringen anförde i förarbetena till patientdatalagen att personuppgiftsansvaret i hälso- och sjukvården

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

215

bör läggas på myndighetsnivå.15 Bland annat för att det därmed uppnås en samordning mellan personuppgiftsansvaret för allmänna handlingar enligt tryckfrihetsförordningen, offentlighets och sekretesslagen och arkivlagen. Mot den bakgrunden synes frågan om personuppgiftsansvar i patientdatalagen närmast handla om på vilken organisatorisk nivå personuppgiftsansvaret ska ligga, snarare än att göra ett avsteg från den grundläggande principen om att personuppgiftsansvaret utgår ifrån de faktiska omständigheterna. Det faktum att en vårdgivare är personuppgiftsansvar för den behandling av personuppgifter som vårdgivaren utför utesluter därför enligt vår bedömning inte att det kan finnas någon annan som också har ett personuppgiftsansvar i fråga om delar av den kedja av personuppgiftsbehandlingar som aktualiseras i samarbeten mellan vårdgivare.

Det är enligt vår bedömning inte möjligt att i lag fastslå vad ett ansvar för de övergripande säkerhetsåtgärderna innebär. Som tidigare påpekats handlar det om samarbeten av vitt skilda slag, av olika omfattning och för olika syften. Organisation, samarbetsformer och övriga faktiska omständigheter blir således avgörande för vad som mer specifikt kan anses ingå i ett sådant ansvar. Utgångspunkten bör dock vara ett personuppgiftsansvar för övergripande säkerhetsåtgärder exempelvis i förhållande till sådana funktioner och förutsättningar som utgör basen för den gemensamma personuppgiftsbehandlingen och som samtliga inblandade aktörer är beroende av och måste rätta sig efter. Det handlar om ett ansvar för tekniska och organisatoriska åtgärder som värnar om den enskildes personliga integritet och som samtidigt, i olika utsträckning beroende på samarbetets karaktär, säkerställer grundläggande faktorer som t.ex. krypteringsskydd, uppgifternas tillgänglighet och riktighet, spårbarheten i systemet m.m.

Som exempel på sådana åtgärder som i olika utsträckning kan tänkas ingå i ett övergripande ansvar kan följande nämnas.

• Organisatoriska och administrativa åtgärder som risk- och sårbarhetsanalyser och kontinuerlig övervakning av de centrala tjänsterna.

• Kontroll över de ingående aktörernas efterlevnad av de gemensamma rutiner, regelverk och villkor som gäller för samarbetet.

• Ansvar för att förvalta och utveckla de centrala funktioner och tjänster som används för att skydda personuppgifterna.

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

216

• Kontinuerliga tester för att analysera att informationssäkerhetskraven efterlevs.

• Kontroll av personuppgiftsbiträden och underleverantörer.

• Ansvar för att personuppgiftsbiträdesavtal och instruktioner finns med förekommande externa leverantörer som behandlar personuppgifter för sådana ändamål som har att göra med de övergripande frågorna.

Hur kan det övergripande personuppgiftsansvaret identifieras?

Som redovisats ovan anser vi att frågan om fördelningen av personuppgiftsansvar för övergripande säkerhetsåtgärder ska avgöras med hänsyn till de faktiska omständigheterna i det enskilda fallet. Det är således upp till de samverkande vårdgivarna att analysera situationen och tydliggöra hur personuppgiftsansvaret är fördelat. Utredningen inser att det sannolikt kan vara olika svårt i olika sammanhang. Samarbeten mellan vårdgivare är inte sällan komplexa utvecklingsarbeten där framför allt medlen för personuppgiftsbehandlingen, dvs. tekniska lösningar, kan vara framtagna av olika aktörer i olika skeden av processen. Samtidigt är vår bedömning att de iblandade vårdgivarna är de som har bäst förutsättningar att göra bedömningen.

När det gäller frågan om personuppgiftsansvar och vad som konstituerar ett ansvar finns viss vägledning att hämta från den s.k. artikel 29-gruppen. Artikel 29-gruppen består bland annat av en företrädare för varje nationell dataskyddsmyndighet i EU-medlemsstaterna och gruppen har till uppgift att främja en enhetlig tillämpning av dataskyddsdirektivet i de nationella lagstiftningarna.

Artikel 29-gruppen har lämnat vissa rekommendationer beträffande just begreppet personuppgiftsansvar. I yttrande 1/2010 om begreppen registeransvarig och registerförare anför 29-gruppen bl.a. följande (med registeransvarig avses personuppgiftsansvarig).

Begreppet registeransvarig är ett funktionellt begrepp som är avsett att lägga ansvaret där det faktiska inflytandet ligger och bygger alltså på en faktabaserad snarare än en formell analys. För att avgöra var registeransvaret ligger kan det därför ibland krävas en ingående och lång undersökning. Behovet av att säkerställa effektiviteten innebär dock att det krävs en pragmatisk inställning för att skapa förutsägbarhet i fråga om registeransvaret. Därför behövs tumregler och praktiska

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

217

överväganden för att vägleda och förenkla tillämpningen av dataskyddsdirektivet.

När det gäller frågan om personuppgiftsansvar grundat på faktiska omständigheter menar 29-gruppen att det i många fall omfattar en bedömning av de avtalsmässiga förbindelserna mellan de olika inblandade parterna. Genom bedömningen går det att dra slutsatser och tilldela en eller flera parter rollen och ansvaret som registeransvarig. Det kan enligt 29-gruppen vara särskilt användbart i komplicerade miljöer, där det ofta används ny informationsteknik och de berörda aktörerna gärna betraktar sig som ”förmedlare” och inte som registeransvariga. Det kanske inte anges tydligt i ett avtal vem som är registeransvarig, men det kan ändå innehålla tillräckligt med information för att man ska kunna tilldela registeransvaret till en part som uppenbarligen har den dominerande rollen i det avseendet. Det kan också hända att avtalet är tydligare även i fråga om vem som är registeransvarig. Om det inte finns någon anledning att ifrågasätta att detta korrekt speglar verkligheten finns det, enligt 29-gruppen, inget hinder för att följa villkoren i avtalet.

29-gruppen för i sammanhanget även ett resonemang kring sådana förhållanden som särskilt aktualiseras när flera olika aktörer samverkar i frågor som rör personuppgiftsbehandling och hur personuppgiftsansvaret i sådana fall skulle kunna fastställas. 29gruppen framhåller att när det gäller gemensamt registeransvar kan parternas deltagande i det gemensamma beslutet ta olika former och måste inte delas lika. När det handlar om flera aktörer kan de ha ett mycket nära förhållande (och t.ex. dela samtliga ändamål och medel för en behandling) eller ett lösare förhållande (och t.ex. endast dela ändamål eller medel, eller delar av dem). Därför bör man, enligt 29-gruppen, ta hänsyn till en rad olika typer av gemensamt registeransvar och bedöma deras rättsliga konsekvenser, med en viss flexibilitet för att ta hänsyn till den växande komplexiteten i dagens uppgiftsbehandling i praktiken. Av den anledningen anser 29-gruppen att måste man hantera de olika grader av delaktighet som olika parter kan ha eller olika grader av kopplingar mellan dem i behandlingen av personuppgifter. I sammanhanget uttalas bland annat följande.

Men i verkligheten kan det som sagt finnas flera olika sätt att agera ”gemensamt”, dvs. ”tillsammans med”. Detta kan under vissa omständigheter leda till en gemensam och delad ansvarsskyldighet, men inte som allmän regel: i många fall kanske de olika registeransvariga är

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga SOU 2014:23

218

ansvariga – och därmed ansvarsskyldiga – för behandlingen av personuppgifter i olika skeden och i olika grad. Det viktigaste måste vara att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot de bestämmelserna är tydligt fördelade, även i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, för att undvika att skyddet av personuppgifter minskar eller att det uppstår ”negativa behörighetskonflikter” och kryphål som leder till att de skyldigheter och rättigheter som följer av direktivet inte garanteras av någon av parterna.

Vidare menar 29- gruppen att parter som agerar tillsammans har en viss flexibilitet när det gäller att fördel skyldigheter och ansvar sinsemellan, så länge de garanterar en fullständig efterlevnad. Regler för hur det gemensamma ansvaret ska utövas bör, enligt gruppen, i princip fastställas av de registeransvariga. Men hänsyn bör också tas till de faktiska omständigheterna och det bör bedömas om arrangemanget avspeglar verkligheten i den bakomliggande uppgiftsbehandlingen. I yttrandet om personuppgiftsansvar redogörs även för nedanstående exempel, som är hämtat just ifrån samarbeten mellan vårdgivare inom hälso- och sjukvården. 29gruppen anför följande i exemplet, som handlar om plattformar för att administrera hälsouppgifter.

I en medlemsstat inrättar en offentlig myndighet en nationell förbindelsepunkt som reglerar utbytet av patientuppgifter mellan vårdgivare. Mängden registeransvariga – tiotusentals – leder till en så otydlig situation för de registrerade (patienterna) att skyddet av deras rättigheter hotas. För de registrerade skulle det vara mycket svårt att veta vem de skulle vända sig till med eventuella klagomål, frågor och krav på information, rättelser eller tillgång till personuppgifter. Dessutom är den offentliga myndigheten ansvarig för den faktiska utformningen av behandlingen och hur den används. Dessa faktorer leder till slutsatsen att det är den offentliga myndighet som inrättar förbindelsepunkten som ska betraktas som registeransvarig och även fungera som kontaktpunkt dit de registrerade kan vända sig med förfrågningar.

Utredningen anser att 29-gruppens yttrande om begreppet personuppgiftsansvar ger såväl stöd för utredningens förslag i frågan om personuppgiftsansvar för övergripande säkerhetsåtgärder som vägledning för vårdgivare som står i begrepp att analysera och fördela ansvaret i frågor om personuppgiftsbehandling. Mot bakgrund av 29-gruppens uttalanden anser utredningen att det finns ett fåtal konkreta omständigheter som alldeles särskilt kan tyda på att en, eller ett fåtal, av de inblandade vårdgivarna har ett särskilt ansvar för övergripande säkerhetsåtgärder. Sammanfattningsvis kan t.ex.

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

219

följande konkreta omständigheter ge vägledning för vårdgivare att fastställa personuppgiftsansvaret.

• Att en vårdgivare dikterat villkoren för övrigas medverkan.

• Att en vårdgivare har faktiska möjligheter och befogenheter att vidta åtgärder med avseende på den övergripande säkerheten för personuppgiftsbehandlingen.

• Att en vårdgivare ansvarar för kravställning, utveckling, driftsättning och förvaltning av sådant som avser den övergripande säkerheten för personuppgiftsbehandlingen.

• Att det av avtal mellan de samverkande vårdgivarna framgår att en vårdgivare har en dominerande och självständig ställning i frågor som rör övergripande säkerhetsåtgärder.

Samtidigt råder i många samarbeten naturligtvis helt andra förutsättningar än de som räknas upp ovan. De ska endast betraktas som vägledande just för frågan om någon av de inblandade kan anses ha ett ensamt personuppgiftsansvar för de övergripande säkerhetsåtgärderna. Oavsett om vårdgivarnas bedömning resulterar i att personuppgiftsansvaret för frågor om organisatoriska och tekniska säkerhetsåtgärder är gemensamt eller om det ligger på en av vårdgivarna, ska det enligt vårt förslag framgå av överenskommelsen hur personuppgiftsansvaret är fördelat.

221

11 Elektroniskt utlämnande av personuppgifter

11.1 Bakgrund

Utredningen har i tidigare avsnitt föreslagit att patientdatalagens (2008:355), förkortad PDL, ändamålsbestämmelse ska föras över till hälso- och sjukvårdsdatalagen. Inom ramen för de tillåtna ändamålen är det många gånger aktuellt att behandla personuppgifter i form av att lämna ut uppgifter till någon utanför den egna verksamheten. Utlämnande kan t.ex. avse personuppgifter som begärs ut från av en annan vårdgivare eller föranledas av en särskilt reglerad uppgiftsskyldighet. Det kan t.ex. också avse sådana uppgifter som ska lämnas ut för att den egna verksamheten ska kunna fullgöra sina uppgifter, t.ex. i samband med samverkan mellan socialtjänsten och hälso- och sjukvården. Även i relation till den medicinska utbildningen och forskningen förekommer regelmässiga utlämnanden av personuppgifter.

Personuppgifter kan lämnas ut på olika sätt. Ett sätt är via pappersutskrifter från en dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form, exempelvis på medium för automatiserad behandling eller genom direktåtkomst. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring till ett datorsystem till ett annat via telenätet eller att en mottagare ges elektroniskt tillgång till det utlämnande organets datorsystem (direktåtkomst). Elektroniska utlämnanden kan även ske genom s.k. direktåtkomst. Alla dessa olika varianter utgör behandling av personuppgifter enligt det begrepp som definieras i 3 § personuppgiftslagen (1998:204), förkortad PUL.

Enligt utredningens bedömning innebär sättet eller den särskilda tekniken för utlämnande i elektronisk form att det kan uppstå risk för intrång i den personliga integriteten Normalt innebär nämligen

Elektroniskt utlämnande av personuppgifter SOU 2014:23

222

just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet görs på papper. Direktåtkomst innebär dessutom att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas och på egen hand kan söka efter information. Se vidare i det följande om åtskillnaden mellan begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.

11.2 Våra överväganden och förslag

11.2.1 Vissa bestämmelser om utlämnande förs över från patientdatalagen

Vårt förslag: Bestämmelser från 5 kap. patientdatalagen med

hänvisningar till andra lagar, om utlämnade på medium för automatiserad behandling och om viss uppgiftsskyldighet för myndighet ska föras över från patientdatalagen till hälso- och sjukvårdsdatalagen.

I nuvarande 5 kap. patientdatalagen återfinns ett antal grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet. Vi föreslår att dessa bestämmelser från 5 kap. patientdatalagen förs över till den nya lagen

Hänvisningar till andra lagar

Våra förslag innebär att patientdatalagens bestämmelser med hänvisningar till andra lagar, vad gäller rätten att ta del av allmänna handlingar och eventuella begränsningar att ta del av uppgifter i enskild hälso- och sjukvård, förs över oförändrade till hälso- och sjukvårdsdatalagen.

Viss uppgiftsskyldighet för myndigheter

Vi föreslår att den nuvarande bestämmelsen i patientdatalagen om en myndighets skyldighet att vid vissa fall lämna ut uppgift ur en patientjournal som upprättats inom den enskilda hälso- och sjukvården förs över till hälso- och sjukvårdsdatalagen. Bestämmelsen har i

SOU 2014:23 Elektroniskt utlämnande av personuppgifter

223

allt väsentligt sin grund i den tidigare gällande patientjournallagen (1985:562) och behandlades i prop. 1991/92:104 s. 24 f.

Utlämnande på medium för automatiserad behandling

Vår utgångspunkt är att vårdgivare precis som i dag ska kunna lämna ut personuppgifter på medium för automatiserad behandling om de får lämnas ut. Vi föreslår därför att den nuvarande bestämmelsen i 5 kap. 6 § PDL förs över till hälso- och sjukvårdsdatalagen. Det innebär att det är möjligt för vårdgivare att lämna ut personuppgifter elektroniskt på detta sätt, under förutsättning att det inte finns något sekretesshinder och om personuppgiftsbehandlingen som sådan är laglig. Om uppgifter överhuvudtaget får lämnas ut bestäms av bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt av bestämmelserna om tystnadsplikt i patientsäkerhetslagen (2010:659) förkortad PSL. Inom hälso- och sjukvården råder en sträng sekretess och tystnadsplikt, vilket innebär att det alltid måste prövas om ett utlämnande över huvud taget kan göras eller inte. Vidare följer av de nu gällande och de föreslagna ändamålsbestämmelserna att personuppgifter får behandlas för ändamålet utlämnande. Bestämmelsen innebär att personuppgifter, som behandlas för ett tillåtet ändamål, också får behandlas för att fullgöra ett uppgiftslämnande som är lagligt.

När det gäller utlämnande på medium för automatiserad behandling delar vi den bedömning regeringen gjorde i förarbetena till patientdatalagen.1Det finns inget skäl till att för hälso- och sjukvårdens del begränsa den användning av modern teknik som i dag finns i hela samhället. Uppgifter ska därför kunna lämnas ut från hälso- och sjukvården på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis ske genom olika former av filöverföring eller på usb-minne. Det är upp till vårdgivaren att efter en lämplighetsprövning ta ställning till valet mellan en automatiserad överföring och annan överföring.

Under utredningens arbete har det blivit tydligt att det både i hälso- och sjukvården och i socialtjänsten finns behov av att utveckla och implementera it-stöd som gör det möjligt att administrera elektroniska utlämnanden på ett ändamålsenligt och säkert sätt. Det skulle exempelvis kunna förenkla och effektivisera sådana utlämnanden som görs mellan olika vårdgivare. Som ett

Elektroniskt utlämnande av personuppgifter SOU 2014:23

224

exempel på ett område där utlämnanden på medium för automatiserad behandling regelmässigt görs kan den samordnade vårdplaneringen nämnas. De flesta kommuner och landsting har även i dag möjlighet att kommunicera elektroniskt vid sådan samordnad vårdplanering ska ske när patienter skrivs ut från slutenvården och är i behov av insatser från socialtjänsten och den kommunala hälso- och sjukvården. Motsvarande typ av it-stöd som i dag används vid samordnad vårdplanering borde kunna vara ändamålsenliga även vid andra utlämnandesituationer. Andra användningsområden kan vara sådana utlämnanden som görs till enskilda. Vidare förekommer i förhållandevis stor omfattning, och mer eller min